Plongée dans TAO, les hackers de la NSA « qui accèdent à l’inaccessible »

Plus de 6 mois après, les révélations d’Edward Snowden continuent à se succéder au compte-goutte à la une des médias. Ces révélations se sont généralement focalisées sur les capacités de la NSA en matière d’interception des communications téléphoniques et de collecte massive d’informations sur Internet (notamment avec le programme PRISM).

Mais certains documents ont également permis d’en savoir un peu plus sur un autre moyen de collecte de renseignement, de plus en plus utilisé, par l’agence américaine : les attaques informatiques (les américains parlent officiellement de CNE – Computer Network Exploitation).

On a donc vu émerger, avant et avec les révélations de Snowden, de plus en plus d’informations sur l’unité, plus si secrète, TAO (Office of Tailored Access Operations), les équipes de hackers de l’agence de renseignement américaine.

Chine, Etats-Unis : qui « pirate » le monde ?

Ces révélations sur les hackers de la NSA interviennent, coïncidence ou pas, dans un contexte, où, début 2013, c’est la Chine qui fait la une de l’actualité « cyber ». Les Etats-Unis n’ont de cesse d’accuser publiquement et officiellement l’Etat chinois de mener des opérations massives de cyber espionnage contre les entreprises américaines.

• Fin janvier 2013, plusieurs médias[1] américains dont le New York Times et le Wall Street Journal annoncent avoir été victimes de cyber attaques chinoises.

• En février, la société Mandiant (rachetée récemment par FireEye), spécialisée en sécurité informatique (notamment en forensics) et qui a aidé le New York Times à réagir après avoir détecté une intrusion informatique, crée le buzz en publiant un rapport[2] dévoilant en détails les modes opératoires d’une équipe de hackers chinois qui auraient exfiltré des téraoctets de données volées appartenant des entreprises américaines. Dans son rapport, Mandiant attribue ces campagnes de cyber espionnage au groupe APT1 basée à Shanghai et affilié à l’unité 61398 de l’Armée Populaire de Chine.

• En mai dernier, deux rapports[3] officiels américains affirment que l’armée chinoise se cache derrière les cyber attaques qui touchent les programmes d’armement du Pentagone et de ses sous-traitants.  Le deuxième, confidentiel[4], est dévoilé dans le Washington Post, une semaine avant un sommet bilatéral[5], qui a eu lieu les 7 et 8 juin 2013, entre le président américain Barack Obama et son homologue chinois Xi Jinping et pendant lequel les questions de cybersécurité étaient au programme.

• Une semaine auparavant, le 23 mai 2013, un article publié sur le site de BusinessWeek[6] et intitulé « Comment le gouvernement US pirate le monde » lève le voile, pour la première fois en 2013 (et donc quelques jours avant les premières révélations de Snowden), sur l’unité TAO appartenant à la NSA et qui cyber espionne la Chine et de nombreux pays depuis de nombreuses années. L’auteur de l’article indique que ses sources sont deux anciens officiels américains et qu’un officiel du Pentagone (qui n’a pas souhaité être nommé) leur a confirmé que cette unité menait des opérations de cyber espionnage (ou plutôt ce que le DoD appelle « Computer Network Exploitation« ).

• Les 6 et 7 juin 2013 (juste avant le sommet US – Chine), The Guardian révèle le programme PRISM ainsi qu’une directive présidentielle[7] américaine secrète demandant aux agences de renseignement (dont la NSA) de dresser une liste de cibles potentielles (des pays étrangers) pour des cyber attaques.

• Le 12 juin 2013, Edward Snowden donne une de ses premières interviews au South China Morning Post[8], quotidien en langue anglaise de Hong Kong dans laquelle il affirme que les Etats-Unis lancent des cyber attaques contre la Chine depuis 2009. Selon Snowden, la NSA aurait notamment attaqué des universités chinoises hébergeant d’importants noeuds de connexion Internet, le réseau de câbles sous-marins de Pacnet, opérateur qui relie l’Asie-Pacifique aux Etats-Unis via de nombreuses villes chinoises ainsi que des opérateurs de téléphonie mobile.

TAO, une unité « secrète »… connue depuis 2007 ?

Ces éléments nous rappellent que l’unité TAO n’a pas été révélée en premier lieu par Edward Snowden. Et Business Week n’a pas été le premier média à évoquer cette unité « secrète ».

Une simple recherche sous Google permet de retrouver la trace de TAO dans plusieurs articles et documents datant de bien avant 2013 :

• Un manuel de l’US Navy daté de mai 2007[9], qui décrit un processus de formation interne d’opérateur et de formateur au « Computer Network Exploitation », fait référence à TAO ;

• Un article publié sur le site US News[10] en juin 2009 évoque la sortie d’un livre sur la NSA écrit par Matthew Aid, historien spécialiste du renseignement. Il y révèle que l’agence américaine dispose d’un groupe spécialisé dans les attaques informatiques appelé Tailored Access Operations, issu d’un programme hautement classifié connu sous le nom de STUMPCURSOR. Le livre[11], publié en juillet 2009, affirme que l’unité TAO, qui comprenait à l’époque déjà 600 « opérateurs », a notamment été utilisée en 2007 en Irak pour aider les forces américaines à identifier et localiser une centaine de cellules de terroristes irakiens et d’Al Qaeda ;

• Un article du Washington Post de septembre 2011 revient sur l’opération Buckshot Yankee[12] menée en 2008 par des militaires américains spécialisés en cyber dans le but de contrer une attaque contre les réseaux classifiés américains. Ces derniers, non connectés à Internet, avaient été infectés par un malware via une clé USB connectée sur un ordinateur portable, dans une base américaine du Moyen-Orient. L’auteur de l’article indique que les équipes de spécialistes de TAO ont été un acteur clé dans la résolution de cette crise en aidant à identifier des nouvelles variantes du malware à l’extérieur des réseaux informatiques militaires américains ;

• Des biographies de militaires américains (nominations[13] [14] [15] ou conférence[16]) ou des CV[17] datant de 2011.

TAO « is the place to be right now »

Mais c’est bien en 2013 qu’on apprend le plus de détails sur cette unité de hackers de la NSA. Des articles publiés par Foreign Policy, le New York Times ou encore de l’hebdomadaire allemand Der Spiegel permettent de dresser un portrait assez détaillé de l’Office of Tailored Access Operations. Etonnement la plupart des informations ne semblent pas provenir des fuites d’Edward Snowden mais bien d’anciens et d’actuels du renseignement américain (sous couvert d’anonymat) et rencontrés par Matthew Aid, historien spécialiste de la NSA.

Ce que l’on sait sur TAO

• L’unité TAO a été créée en 1997[18], au tout début de l’Internet « grand public ». Elle faisait partie des unités les plus « secrètes » de la NSA.

• Le QG de TAO est basé à Fort Meade (Maryland) et est communément appelée « The ROC » pour « Remote Operations Center ». Mais elle possède également des bureaux[19] « régionaux » à Wahiawa (Hawaii), Fort Gordon (Augusta, Georgia), au Texas Cryptologic Center (San Antonio, Texas) et dans la base Buckley de l’Air Force (près de Denver, Colorado). TAO aurait également des bureaux de liaison à l’étranger et notamment en Allemagne, près de Francfort, au sein de l’European Security Operation Center, situé dans le « Dagger Complex », un camp militaire américain.

• TAO est dirigée depuis avril 2013 par Robert E. Joyce[20], ancien directeur adjoint de la Direction « Information Assurance » et qui a également travaillé dans des équipes chargées de l’anti-terrorisme (toujours à la NSA).

• Les effectifs de TAO seraient d’environ 600 personnes, selon les informations obtenues par Matthew Maid. Mais ce chiffre, qui semble daté de 2007, n’inclurait que les personnels basés à Fort Meade (QG de la NSA). Autre exemple, selon des documents internes de la NSA, l’unité TAO du Texas, qui comptait 60 personnes en 2008, projetterait de passer à 270 spécialistes en 2015.

• L’unité TAO serait aujourd’hui la composante la plus « importante » (en effectif et en valeur ajoutée) de la Direction « Signal Intelligence » (SID[21]). Mais pour accomplir ses missions, elle a besoin de s’appuyer sur d’autres équipes techniques[22] :

• « Data Network Technologies Branch » (DNT), chargée de développer des malwares


• « Telecommunications Network Technologies Branch » (TNT), chargée de développer et d’améliorer les techniques d’intrusions informatiques, les plus furtives possibles.


• « Advanced Network technology » (ANT), gère (et développe ?) un catalogue de « portes dérobées », de malwares et du matériel d’interception offrant à TAO toutes les ressources nécessaires pour compromettre n’importe quel réseau informatique.


•  « Mission Infrastructure Technologies » (MIT), chargée de développer l’infrastructure informatique et les outils permettant à TAO de mener à bien ces opérations et de les gérer.


• « Requirements & Targeting » (R&T)






• « Access Technologies Operations » (ATO), chargée de mener des opérations « offline » avec l’appui de personnels appartenant à la CIA et au FBI pour compromettre physiquement le matériel informatique ou de télécommunications des cibles de TAO.

Ses missions

• Depuis 1997, l’unité TAO a acquis une solide réputation au sein de la communauté du renseignement américain. Elle aurait permis de récolter « certains des renseignements les plus importants que les Etats-Unis aient produit ». La force de TAO pour le renseignement américain : « pouvoir accéder à l’inaccessible[23] ».

• L’unité TAO a pour mission principale de collecter du renseignement en s’introduisant dans les réseaux informatiques de cibles étrangères pour y voler des informations sensibles ou mettre sur écoute leurs communications. Des pays comme la Chine, l’Iran, la Russie et la Corée du Nord seraient les cibles prioritaires pour les hackers de TAO. Grâce aux succès de TAO, les Etats-Unis seraient très bien informés sur les capacités informatiques offensives chinoises[24] et sur leurs opérations contre les intérêts américains. Mais l’unité aurait également pour but de collecter de l’information sur : les groupes terroristes, les activités d’espionnage dirigées contre les Etats-Unis, la prolifération des armes de destructions massives et des missiles balistiques ainsi que sur les dernières évolutions politiques, diplomatiques, militaires, technologiques et économiques qui peuvent impacter les Etats-Unis ou menacer leurs sphères d’influence régionales. Par contre, la NSA dément toujours mener des opération d’espionnage économique (cyber ou non). On peut également imaginer qu’au-delà des missions de renseignement, TAO mène des opérations de sabotage informatique.

• Selon le « black budget » du renseignement américain, dévoilé par le Washington Post[25], les agences de renseignement américaines ont mené 231 cyber opérations en 2011. TAO a sans doute pris part à la plupart d’entre elles.

Son budget

• Selon le « black budget » du renseignement américain, les dépenses en matière de « Computer Network Operations » de la NSA représente près d’un milliard de dollars. Un tiers seulement est consacré à la « cyberdéfense » des systèmes. Les capacités offensives représentent quant à elles 651,7 millions de dollars qui financent le ROC (Remote Operations Center, le QG de TAO) et le programme GENIE[26] (développement d’implants / malwares et compromission des réseaux informatiques et de télécommunications des cibles étrangères).

• TAO disposerait également d’un budget de 25,1 millions de dollars pour acquérir des « exploits » ou des vulnérabilités 0-day auprès de sociétés privées américaines et européennes.

Quelques faits d’armes

• En 2007, TAO aurait notamment pris part à des opérations en Irak. Elle aurait notamment aidé à identifier et localiser une centaine de cellules d’insurgés irakiens et d’Al-Qaeda.

• TAO aurait pris part aux opérations liées à la recherche de Ben Laden[27] en plaçant ses « implants » sur des téléphones mobiles notamment utilisés par des opérationnels d’Al-Qaeda.

• En 2011, TAO aurait aidé à capturer 40 combattants Talibans en Afghanistan[28], toujours grâce aux renseignements collectés via ses « implants ».

• En 2012, via le programme GENIE, la TAO aurait réussi à installer près de 50 000 « implants »[29] sur des systèmes informatiques et de télécommunications étrangers, lui permettant de les contrôler à distance. Fin 2013, le programme GENIE projetterait de disposer de 85 000 « implants ».

• Opération WHITETAMALE[30] : En 2009, l’unité TAO du Texas aurait infiltré dans les réseaux du Secrétariat de la Sécurité publique du Mexique, notamment en charge de la lutte contre le trafic de drogue.  Cette opération aurait permis de récupérer 260 documents confidentiels.

• Opération FLATLIQUID[31] : en 2010, l’unité TAO du Texas aurait infiltré les serveurs de messagerie du gouvernement mexicain et aurait réussi à accéder au compte e-mail du président Felipe Calderon, notamment utilisé par les membres de son cabinet pour échanger des données sensibles.

• Opération SPINALTAP[32] : l’unité TAO aurait identifié des adresses IP d’ordinateurs appartenant au Hezbollah, rendant ainsi possible à la NSA d’intercepter de façon ciblée leurs communications parmi l’immense quantité de données que l’agence américaine collecte jour après jour.

Ses modes opératoires

• TAO dispose d’un catalogue[33] [34]de solutions techniques pour s’attaquer à la plupart des systèmes informatiques utilisés dans le monde. La cible utilise un serveur Dell, un routeur Huawei ou Cisco ou encore un iPhone ? Il y a un « implant » ou un malware adapté pour chaque type de logiciel (même les BIOS) ou matériel (disque dur, écran…) que TAO peut trouver sur son chemin. Ils ont également à leur disposition : des keyloggers matériels, du matériel d’interception pour téléphones mobile ou de faux hotspots WIFI.

• Les hackers de la NSA peuvent également intercepter et rediriger des livraisons de matériel informatique. Si une cible commande, par exemple, un nouvel ordinateur portable ou un téléphone mobile via Internet, l’équipe « Access Technologies Operations » de la NSA, avec l’aide du FBI et de la CIA (selon la localisation de la cible) pourra détourner la livraison pour y installer un « mouchard »[35].

• Qui n’a jamais vu s’afficher sur son poste de travail un message Windows qui l’invitait à envoyer un rapport d’erreurs à Microsoft[36] pour les « aider à améliorer le produit » ? TAO est capable d’intercepter ces messages (via son programme XKeyscore) pour récolter des informations détaillées sur les systèmes utilisés par ses cibles et ainsi les compromettre plus facilement.

• Enfin, pour la NSA, le spear-phishing (utilisé pour infecter l’ordinateur de la cible) n’est pas assez efficace. Ils ont préféré développer le programme QUANTUMINSERT[37]. Quand une de leurs cibles veut se connecter sur un site web (comme Linkedin ou un webmail comme Yahoo), des serveurs de la NSA (FoxAcid, l’exploit kit de la NSA) interceptent les requêtes et lui renvoient, plus rapidement, une copie du site légitime, infecté par un malware « maison » : une attaque NSA-in-the-Middle en quelque sorte.

Qui fait fuiter les informations sur TAO ?

Le but de ce billet était de détailler ce que l’on sait aujourd’hui sur TAO mais aussi de me pencher un peu plus sur les sources de ces informations. Après avoir lu et relu une grande partie des articles traitant de TAO, je me rends compte que de nombreux détails, et pas les plus anodins, ne sont pas directement issus des documents sortis par Snowden.

Il semble que Matthew Aid dispose depuis plusieurs années déjà d’excellente sources parmi d’anciens et d’actuels membres bien placés au sein de la NSA et du renseignement américain en général (c’est son métier). Michael Riley, l’auteur de l’article de BusinessWeek, publié deux semaines avant les premières révélations de Snowden, citait également deux anciens du renseignement américain. Ça fait quand même beaucoup de sources « officielles » mais bien évidemment anonymes. Est- ce que cela ne vous rappelle pas les fuites sur « Olympic Games » (le programme à l’origine de Stuxnet, entre autres) ? Fuites que certains estimaient comme « organisées » par le président Obama à l’approche de sa campagne de réélection pour montrer ses cyber muscles à l’Iran (ou rassurer les américains sur ses capacités de Commander in Chief ?).

La comparaison s’arrête là. Stratégiquement, des révélations sur les capacités offensives américaines dans le cyberespace tombaient très mal. Surtout dans un contexte tendu avec la Chine sur le sujet du cyber espionnage. Difficile retour de bâtons pour les États-Unis qui, après avoir pointé du doigt la Chine en matière de cyber attaques, ont vu leur nouvel meilleur ennemi leur rendre la pareille (et ils ne s’en priveront pas non plus dans le futur et dès que américains désigneront la Chine comme à l’origine d’une attaque informatique). Mais il faut avouer que les chinois ont bien été aidés par l’une des premières révélations de Snowden. L’ex sous-traitant de la NSA avait affirmé dans une interview publiée par un journal de Hong Kong que le gouvernement américain menait des cyber attaques contre la Chine depuis 2009 et il promettait une liste d’IP de machines compromises. Un authentique lanceur d’alerte qui ne fait que défendre la vie privée des américains et des citoyens du monde (ou pas).

Les documents de Snowden ont ensuite permis de parfaitement compléter les informations de Matthew Aid en fournissant des détails sur certaines opérations et surtout des preuves tangibles (toutes ces fameuses slides).

Enfin, il y a eu fin décembre les articles du Spiegel. Ils reprenaient certains informations publiées par Matthew Aid (qui est même cité une fois) mais étonnement le nom de Snowden n’est jamais mentionné. Sur Twitter, certains se sont donc demandé si ces informations provenaient bien de Snowden. Ils ont interrogé (gentiment) Glenn Greenwald qui a botté en touche. Néanmoins, on peut constater que la documentariste américaine Laura Poitras, proche de Snowden, faisait partie des six auteurs de l’article.

Sur le sujet TAO, il semblerait bien qu’outre Snowden, plusieurs autres actuels ou anciens du renseignement américains aient bien fourni à la presse de nombreuses informations sur cette unité censée être la plus secrète de la NSA et son fer de lance dans le cyberespace.

Sources :

Vous aimerez aussi cet article: