FYI.

This story is over 5 years old.

Tech

Les techniques "sales" des espions britanniques sur le web iranien

Une unité spéciale de l'agence de renseignement britannique GCHQ a tenté d'influencer les actions des opposant au régime lors des manifestations iraniennes en 2009.

Illustration: Shaye Anderson

Une unité spéciale de l'agence de renseignement britannique GCHQ a tenté d'influencer les actions des opposant au régime lors des manifestations iraniennes en 2009, suite à l'élection présidentielle, puis lors des soulèvements démocratiques de 2011 connus sous le nom de « Printemps arabe, » selon de nouvelles preuves recueillies dans les documents divulgués par Edward Snowden.

L'existence de l'unité spéciale du GCHQ, connu sous le nom de Joint Threat Research Intelligence Group ou JTRIG, a été révélée pour la première fois en 2014, lorsque la publication de documents top secret a montré que cette unité tentait d'infiltrer et de manipuler des citoyens en utilisant des tactiques dites « sales » telles que le « pot de miel », qui consiste à rentrer en contact avec un individu après lui avoir témoigné un intérêt amical, intellectuel, militant ou romantique, sur Internet. L'unité aurait sévi au sein de la communauté des Anonymous, entre autres.

Publicité

Les techniques utilisées par le JTRIG avaient déjà été signalées par le passé, mais leur influence sur les mouvements sociaux au Moyen-Orient n'avait jamais été mise en évidence. J'ai été capable de les déjouer dans la mesure où j'en ai moi-même été la cible ; en l'occurrence, je sais que le groupe s'est servi d'un raccourcisseur d'URL déjà mentionné dans les documents de Snowden en 2014, afin d'atteindre ses objectifs.

LE POT DE MIEL

Un service de réduction d'URL qui n'existe plus aujourd'hui, lurl.me, a été créé par le GCHQ afin que les services de renseignement britanniques puissent espionner les réseaux sociaux. En l'occurrence, lurl.me a été utilisé sur Twitter et sur d'autres plates-formes afin de diffuser des messages pro-révolutionnaires au Moyen-Orient.

Ces messages ont été conçus pour attirer les personnes qui s'opposaient au régime en place, afin de les manipuler et de leur extorquer des renseignements précieux. Le raccourcisseur d'URL permettait de suivre sur quels réseaux et pages web les opposants intervenaient, et d'identifier les personnes à qui ils transmettaient les URLs en question.

J'ai pu déjouer leurs plans dans la mesure où j'ai moi-même été la cible de ces techniques d'espionnage

Le projet de l'unité JTRIG était d'utiliser des « moyens sales pour détruire, salir, réfuter, diviser et dégrader l'ennemi en le discréditant, » selon les documents divulgués par Snowden.

Publicité

Le raccourcisseur d'URL a reçu le nom de code DEADPOOL et était l'un des outils servant « de pot de miel » selon un document de la GCHQ publié en 2014.

Le document du GCHQ dans lequel sont listés les outils utilisés par le JTRIG.

La même année, NBC News avait publié un document révélant que la JTRIG avait infiltré Anonymous et LulzSec avant de lancer une attaque par déni de service (DDos) sur des serveurs IRC.

Le groupe a également utilisé des techniques d'ingénierie sociale afin de pousser ses cibles à cliquer sur des liens spécifiques—une technique fréquemment utilisée par les cybercriminels.

Un diaporama montre un agent secret envoyant un lien (censuré par NBC) à un individu connu sous le nom P0ke. Cela aurait permis de faire tomber l'anonymat de ce dernier et d'identifier son compte Facebook et son email.

À l'automne 2010, j'étais membre du réseau IRS AnonOps attaqué par JTROG. En 2011, j'ai co-fondé LulzSec avec trois camarades. Les documents montrent également que JTRIG surveillait les conversations entre P0ke l'ex-membre de LulzSec Jake Davis, qui utilisait alors le pseudo Topiary.

Grâce à de multiples sources, j'ai pu confirmer que le lien envoyé à P0ke par un agent sous couverture, qui avait réussi à obtenir sa confiance, était celui du site lurl.me.

Un diaporama de la GCHQ intitulé « Hacktivism: Online Covert Action. »

COMMENT INFLUENCER DES MILITANTS SUR TWITTER

Une enquête plus poussée sur lurl.me, menée en utilisant des données publiques sur le web, a mis à jour d'autres opérations de la JTRIG ayant exploité l'outil DEADPOOL, y compris des opérations secrètes au Moyen-Orient.

Publicité

The Internet Archive montre que le site était actif dès juin 2009, jusqu'en novembre 2013 environ. Un aperçu du site révèle qu'il se présentait comme « un raccourcisseur d'URL gratuit » conçu pour « vous aider à transmettre des liens à vos amis et à votre famille. »

Des ressources en ligne publiques, des moteurs de recherche et les réseaux sociaux tels que Twitter, YouTube et Blogspot ont été utilisés pour atteindre les objectifs géopolitiques de la GCHQ décrits dans les documents divulgués. Les 69 pages de tweets indexés par Google et faisant référence à lurl.me sont d'ailleurs des tweets de faux militants iraniens et arabes, tenus par des agents.

La plupart de ces tweets proviennent de comptes qui ne sont actifs que quelques jours, dont l'avatar est, par défaut, un œuf, et qui ne comptent qu'un petit nombre de tweets. Deux comptes légitimes actifs depuis des années se sont laissé prendre au piège et ont RT ou cité ces tweets, comportant tous des URLs générés par lurl.me.

Selon les documents de l'agence de renseignement publiés par The Intercept, l'une des stratégies courantes pour mesurer l'efficacité d'une opération était de vérifier si un message donné avait été « compris, accepté, retenu » et avait « amorcé le comportement désiré » chez la cible. Il s'agissait par exemple de répertorier qui avait partagé ou cliqué sur les liens lurl/me créés par la GCHQ.

Le groupe a également utilisé des techniques d'ingénierie sociale afin de pousser les cibles à cliquer sur des liens spécifiques

Publicité

JTRIG possède un groupe capable d'intervenir dans le monde entier sur des cibles spécifiques ; elle possède en outre une équipe spécialisée sur l'Iran. Le document précise que « l'équipe Iran contribue à la contre-prolifération en : (1) discréditant les leaders iraniens et le programme nucléaire iranien ; (2) retardant et perturbant l'accès aux matériaux essentiels au programme nucléaire ; (3) ayant recours au renseignement d'origine humaine sur Internet ; et (4) en luttant contre la censure. »

Le document détaille les méthodes que JTRIG emploie pour atteindre ces objectifs, tels que la création de faux personas, le téléchargement de vidéos YouTube, et le lancement de groupes Facebook encourageant à partager des informations ou des agendas spécifiques. Nombre des techniques décrites apparaissent clairement sur les comptes qui utilisent le raccourcisseur d'URL de manière répétée.

LES AGENTS

Une grande partie du réseau de ces comptes « marionnettes » semi-actifs semblent avoir pour objectif de permettre aux Iraniens d'accéder aux informations qui seraient autrement censurées par le régime. Parmi eux, 2009iranfree.

Dans le document JTRIG faisant référence à des ressources scientifiques en psychologie humaine, il est écrit que l'objectif des agents est « d'offrir l'accès à des documents non censurés. » Il s'agit en fait de fournir des informations sur les sites bloqués aux opposants aux régime et de leur donner accès à la presse internationale. Les faux comptes Twitter fournissaient régulièrement des liens menant vers iran-news.info, un feed d'actualités anglophone dédié à l'Iran.

Publicité

On pourrait croire que les militants iraniens et le GCHQ ont des intérêts communs : discréditer le régime et combattre la censure. Il faut pourtant se rappeler que le programme iranien du JTRIG est avant tout organisé autour du renseignement, et que lurl.me a été utilisé pour révéler l'identité des militants, les suivre, et surveiller leurs activités.

Chose curieuse : les comptes Twitter encourageaient régulièrement les utilisateurs résidant hors-Iran à appeler un numéro de téléphone donné, qui serait « celui du président. » Ce numéro a également été posté sur le forum anti-Ahmadinejad WhyWeProtest. Les documents du JTRIG expliquent qu'il s'agissait « d'imiter une vraie personne pour dissuader, tromper, décourager, retarder ou perturber. »

L'objectif n'est pas très clair. L'un des utilisateurs du forum commente : « Ça ne peut pas être le numéro d'Ahmedinijad. Et si c'était le cas, c'est sans doute les services de renseignement iraniens qui nous répondraient. Méfiez-vous. Nous vivons une époque étrange. Tout peut arriver. »

UN INTERNET PARADOXAL

La raccourcisseur d'URL n'a pas été utilisé sur Twitter en 2010, avant de faire son retour en 2011 sur un compte consacré au printemps arabe et à la situation syrienne, access4syria. Le compte a été actif entre mai et juin 2011, et twittait exclusivement de 9 heures à 17 heures, heure britannique, du lundi au vendredi. Une manoeuvre peu discrète s'il en est.

Publicité

Il peut sembler étrange qu'en matière de gestion de personas, le JTRIG ne parvienne à contrôler qu'un petit nombre de comptes, sans en diversifier le contenu (la plupart des tweets étaient copiés/collés d'un compte à l'autre). Le fait que ces comptes tweetaient uniquement en anglais, pendant les horaires de bureau, est d'autant plus curieux. Tout opposant iranien un peu attentif s'en serait immédiatement méfié.

Une page du document JTRIG explique en outre que les agents ont rencontré des difficultés dans la conduite de leurs opérations, ne maitrisaient pas le farsi et n'avaient pas accès aux ressources linguistiques qui leur étaient nécessaires.

Le faux-compte de militant syrien, comme les comptes iraniens, visait à offrir aux citoyens un moyen de contourner la censure du gouvernement sur Internet.

Le compte a diffusé de manière répétée des instructions en arabe concernant le détournement de la censure gouvernementale. Ces instructions ont été hébergées sur Blogspot.

Les instructions en question encouragent les lecteurs à « se connecter à Internet par satellite, chez des amis, dans des cybercafés, ou au travail, » afin d'éviter d'être isolés des actualités diffusées par des médias étrangers. Elles suggèrent également « d'utiliser un proxy pour accéder aux pages bloquées. Cela permet d'utiliser l'Internet en toute sécurité. Vous pouvez utiliser le proxy suivant… » et fournissent deux adresses IP à utiliser comme proxy.

Publicité

Ceux qui ont utilisé les proxy JTRIG ont dû être surpris. Par exemple, l'un des outils de type « pot à miel » utilisé par le JTRIG, baptisé « MOLTEN-MAGMA, » est un « proxy CGI HTTP capable d'enregistrer le trafic et d'effectuer des attaques HDM . » En d'autres termes, le JTRIG pouvait espionner à loisir toutes les personnes ayant utilisé un proxy MOLTEN-MAGMA.

Lurl.me a été vu en ligne pour la dernière fois en novembre 2013, quelques mois après que les documents des renseignements britanniques aient été publiés par Snowden.

Lorsque le GCHQ a été interrogé sur la création de faux-comptes Twitter et sur lurl.me, et sur les procédures mises en place pour contrôler les opérations du JTRIG, l'agence a fourni la réponse la plus banale possible.

« Nous ne faisons jamais de commentaires sur les opérations de renseignement. De plus, tous les travaux de GCHQ s'effectuent conformément à un cadre juridique et politique strict, ce qui garantit l'autorisation de nos activités, qui sont perçues comme nécessaire et raisonnables. Elles sont supervisées de manière rigoureuse, y compris par le Secrétaire d'État, les Commissaires des services de renseignement et le comité parlementaire sur le renseignement et la sécurité. Tous nos processus opérationnels respectent rigoureusement ces principes, » déclare un porte-parole GCHQ dans un email.

Même si Internet a fourni aux citoyens un outil indispensable pour s'organiser et lutter contre les régimes autoritaires, il a également fourni aux services de renseignement un outil tout aussi puissant pour surveiller les militants et obtenir un accès interne à leurs activités. Ces derniers devront donc développer des techniques pour contrer les tentatives d'infiltration de leurs adversaires.

Les opérations menées par les espions britanniques montrent que la liberté et l'ouverture promises par Internet sont à double-tranchant.


Mustafa est chercheur, spécialisé dans les questions de sécurité ; il est également consultant et tweete sur le compte @musalbas. À 16 ans, il a participé au LulzSec group dont les membres ont été pris pour cible par le GCHQ.