« A Milipol, le PDA n’a pas encore détrôné le tonfa » écrivions-nous en 2003. Ce n’est certes toujours pas le cas, mais le virage vers l’information entamé il y quelques années déjà se précise : les interceptions et le data mining sont désormais des armes totalement intégrées à l’arsenal des agences gouvernementales.

De nombreux fournisseurs proposent ainsi cette année des systèmes d’interception dits « légaux » (lire : réservés aux forces de l’ordres munies, on l’espère, de l’autorisation d’un juge). Il s’agit toutefois très souvent de simples sniffers protocolaires (compréhension des protocoles et des sessions, analyse de type « deep packet ») dont la caractéristique essentielle semble être de supporter des débits importants afin d’être installés chez un opérateur ou un fournisseur d’accès (c’est d’ailleurs pour cela que le 10 gbs semble être à la mode cette année).

Ces outils proposent le plus souvent plusieurs facettes : l’interception d’une part (« ciblée » ou de masse), mais aussi le suivi de la cible à travers plusieurs réseaux (l’outil « ComTrail » de l’indien ClearTrail dispose ainsi de sondes pour le GSM, les MMS, SMS, le fax, la VoIP, les protocoles IP, etc…) et parfois même le cassage du chiffrement afin d’accéder au trafic convoité.

C’est ainsi que la brochure de l’outil de surveillance des réseaux publics QuickTrail, toujours de ClearTrail, affirme que la solution est capable de casser en temps réel les clés WEP, tandis que le cassage du WPA-PSK est « en cours de développement ». Sur le stand, les représentants de la société nous ont également affirmés être en mesure d’accéder au contenu du trafic SSL entre un client et un serveur, en s’installant seulement chez le fournisseur d’accès. Ils n’ont pas souhaité entrer dans le détail de leur méthode, mais se sont contentés d’expliquer qu’ils ne cassaient pas SSL en soit mais avaient recourt à « une autre technique » pour accéder au contenu (peut-être une approche similaire à l’attaque SSLstrip de Moxie Marlinspike ?)

Bien entendu, les conversations GSM ne sont pas épargnées par les grandes oreilles : la brochure de l’un de ces outils d’interception affirme même d’être en mesure de fonctionner « en mode passif afin de ne pas dépendre de l’opérateur téléphonique et être invisible pour la cible ». L’outil mentionne les protocoles de chiffrement mobiles A 5.0 / A 5.1 et A 5.2, qu’il serait capable de casser, y compris en situation de mobilité.

Quel que soit l’outil, les données interceptées sont bien entendu systématiquement archivées, et c’est là qu’entre en jeu les solutions de data mining. Leur objectif est de donner du sens à la masse données archivée, notamment en corrélant certaines informations afin de mettre à jour des liens entre elles.

En cela, la démonstration de l’italien RCS était particulièrement intéressante : à partir d’un journal d’appels fournit par un opérateur téléphonique (un dump ou un accès en temps-réel aux données), RCS est en mesure de visualiser et corréler toute sorte d’informations. En sélectionnant par exemple la liste des appels ou des mobiles présents sur deux scènes de crimes différentes, l’outil peut établir lesquels étaient présents dans les deux cas, ou révéler des relations entre leurs propriétaires, leurs connaissances communes, les appels communs, des origines communes (deux cartes SIM jetables achetées dans la même boutique), etc…

Capture d’écran du logiciel de datamining de RCS

Le kit du petit intercepteur…

Si la plupart de ces solutions sont packagées, il semble malgré tout exister un créneau pour le « do-it yourself » sur le marché de l’interception. C’est ainsi que nous avons noté l’américain Bivio Networks , qui fournit une appliance d’interception vierge : la matériel est là, une API spécifique permet de lui parler, et pour le reste un Linux standard permet à n’importe quel développeur d’y déposer son code.

Et si le-dit développeur veut aller plus vite, il pourra toujours se tourner vers le français Qosmos , qui offre notamment avec ixEngine un kit de développement (SDK) afin d’aider à la capture, l’extraction et la classification des données (300 protocoles reconnus, 4000 méta-données disponibles).

Quelle protection ?

Une telle débauche de sniffer, d’inspection de vos paquets ou de zyeutage de vos sessions a probablement de quoi mettre mal à l’aise le RSSI dont du personnel sensible voyage à l’étranger. Il semble ainsi qu’une connexion SSL simple ne soit plus suffisante, et que le bon vieux VPN IPsec reste une valeur sûre. Et pour ce qui est des communications téléphoniques, plusieurs solutions de sur-chiffrement GSM étaient disponibles et peuvent être envisagées, dont celle du français Crypto France (chiffrement téléphoniquie quadri-bande, chiffrement des SMS et MMS, sécurisation du PABX…).