Le chef du Cyber ​​​​Command des États-Unis, le directeur de la National Security Agency et le général en chef du Service central de sécurité, Paul Nakasone, arrivent pour une audience des services armés du Sénat à Capitol Hill à Washington, le mardi 5 avril 2022.Photo : Andrew Harnik ( AP )

Plusieurs bureaux de renseignement militaire ont payé un courtier en données pour accéder aux journaux de trafic Internet, ce qui pourrait révéler les historiques de navigation en ligne des citoyens américains, a déclaré mercredi le sénateur Ron Wyden dans une lettre, citant un dénonciateur anonyme qui avait contacté son bureau.

Au moins quatre agences du département de la Défense des États-Unis, y compris l’armée et la marine, ont dépensé collectivement au moins 3,5 millions de dollars pour un outil de surveillance des données peu connu avec la capacité signalée de fournir un accès à de vastes étendues de données de courrier électronique et d’activité de navigation sur le Web. . Team Cymru, la société de cybersécurité basée en Floride à l’origine de l’outil, affirme que son produit offre aux clients une «super majorité de toutes les activités sur Internet» et une « visibilité » sur plus de 90% du trafic Internet.

Les marchés publics jusque-là inconnus, révélés dans un rapport de Wednesday Vice , ont déjà déclenché la sonnette d’alarme d’un éminent sénateur américain et de l’American Civil Liberties Union, qui a déclaré à Gizmodo que l’on sait encore trop peu comment le DoD utilise l’outil qui peut “révéler des informations extrêmement sensibles sur qui nous sommes et ce que nous lisons en ligne”, a écrit Wyden. À tout le moins, l’achat représente le dernier  exemple d’agences gouvernementales susceptibles de contourner les protections constitutionnelles en recherchant des données auprès de courtiers en données louches et d’autres entreprises privées.

Wyden a écrit mercredi aux inspecteurs généraux des ministères de la Défense, de la Justice et de la Sécurité intérieure, demandant une enquête sur l’achat des données par leurs agences respectives, affirmant qu’il avait confirmé que « plusieurs agences gouvernementales achètent les données des Américains sans autorisation judiciaire. ”

En ce qui concerne l’armée, Wyden a déclaré qu’un lanceur d’alerte s’était présenté à son bureau et avait révélé qu’une série de plaintes officielles avaient été déposées “de haut en bas de leur chaîne de commandement”. Selon Wyden, les plaintes impliquent le Naval Criminal Investigative Service (NCIS) dans des accords visant à obtenir des données de flux net sans mandat.

“Selon le lanceur d’alerte, le NCIS achète l’accès aux données, qui comprennent les enregistrements de flux nets et certains contenus de communication, à Team Cymru, un courtier en données dont j’ai déjà enquêté sur les ventes de données”, a déclaré Wyden, président des finances du Sénat et membre de longue date du Sélectionnez le comité du renseignement.

Les enregistrements Netflow peuvent révéler à quels serveurs les utilisateurs se connectent, révélant ainsi souvent des sites Web spécifiques qu’ils visitent. Les journaux peuvent également révéler le volume de données envoyées ou reçues, et combien de temps un utilisateur a accédé à un site.

Motherboard a signalé pour la première fois en août 2021 que Team Cymru, une société de renseignements sur les menaces, travaillait avec des fournisseurs de services Internet pour obtenir l’accès aux enregistrements de netflow. La société a informé le bureau du sénateur à l’époque qu’elle avait obtenu “des données de flux net de tiers en échange de renseignements sur les menaces”.

Citant une source anonyme pour parler franchement des pratiques de l’industrie, Motherboard a rapporté que les clients de Team Cymru avaient accès à un ensemble de données, grâce auquel ils pouvaient “exécuter des requêtes sur pratiquement n’importe quelle adresse IP pour tirer les flux nets vers et depuis cette adresse IP sur un point donné dans temps.”

Cela comprendrait la possibilité de suivre le trafic via des réseaux privés virtuels (VPN), des services utilisés par certains utilisateurs pour naviguer sur Internet de manière plus privée.

Selon Wyden, les dossiers de passation de marchés publics ont confirmé l’utilisation par l’armée d’un outil appelé Augury, qui fournit des “pétaoctets” de données réseau “à partir de plus de 500 points de collecte dans le monde”. Au moins « 100 milliards de nouveaux enregistrements » sont collectés chaque jour, y compris les données de messagerie et de navigation sur le Web.

Wyden a déclaré que l’outil est proposé par l’entrepreneur Argonne Ridge Group, qui partage “la même adresse d’entreprise” que Team Cymru, avec laquelle Argonne a également “des dirigeants d’entreprise qui se chevauchent”. Il a ajouté que les dossiers montrent qu’Argonne a obtenu des contrats avec le US Cyber ​​Command, l’armée, le Federal Bureau of Investigation et les services secrets américains.

La Defense Intelligence Agency, la Defense Counterintelligence and Security Agency et le US Customs and Border Protection (CBP) sont également nommés dans la lettre. L’enquête de Wyden sur les achats du gouvernement est en cours.

Les révélations ont suscité l’inquiétude de groupes de défense des droits de premier plan comme l’American Civil Liberties Union, qui a déclaré à Gizmodo qu’une plus grande transparence est nécessaire pour comprendre comment les agences gouvernementales utilisent ces informations.

“Les enregistrements de navigation sur le Web peuvent révéler des informations extrêmement sensibles sur qui nous sommes et ce que nous lisons en ligne”, a déclaré Patrick Toomey, directeur adjoint du projet de sécurité nationale de l’ACLU, dans un e-mail à Gizmodo. “Nous devons en savoir beaucoup plus sur la manière dont les forces armées et les forces de l’ordre exploitent leur accès sans mandat à nos informations privées.”

Dans un e-mail, un porte-parole de Team Cymru a affirmé que les reportages sur ses contrats avec le gouvernement étaient “faux et trompeurs”, et a déclaré que les “allégations” concernant les capacités de son logiciel étaient “sans fondement”. (Le porte-parole n’a pas précisé les affirmations qu’il considère comme fausses, ni fourni d’autres détails sur son produit pour corriger le dossier.)

Les porte-parole du CBP et du FBI n’ont pas immédiatement répondu à une demande de commentaire. Un porte-parole militaire adresse toutes les questions au bureau de l’inspecteur général du DoD. Nous attendons une réponse.

La nouvelle survient alors que plusieurs législateurs fédéraux travaillent à enquêter sur l’acquisition par le gouvernement américain de données que les agences auraient autrement besoin d’un mandat pour obtenir. Le mois dernier, deux démocrates de premier plan à la Chambre des représentants – les représentants Jerrold Nadler et Bennie Thompson – ont exigé que le FBI et le DHS divulguent les détails des achats de données présumés révélant l’activité de navigation sur Internet et les emplacements précis des utilisateurs.

Alors qu’une décision de la Cour suprême en 2018 a statué que le gouvernement ne peut pas acquérir de données de localisation sensibles sans mandat, plusieurs agences gouvernementales sont accusées d’avoir choisi d’interpréter la décision de manière restrictive, en exemptant les données qui, plutôt que d’être exigées, sont acquises commercialement. En d’autres termes, le gouvernement achète littéralement son chemin autour du quatrième amendement.

Les agences fédérales ne sont pas les seules à le faire. Vendredi, la représentante Anna Eshoo a demandé à la Federal Trade Commission d’ enquêter sur un logiciel de police récemment révélé , connu sous le nom de Fog Reveal, qui permet aux forces de l’ordre de cartographier les mouvements des Américains “des mois en arrière”. Ce service ne repose pas sur les données de netflow, mais sur les données de localisation extraites de centaines d’applications grand public, prétendument à des fins publicitaires.

“Les consommateurs ne se rendent pas compte qu’ils annulent potentiellement leurs droits au quatrième amendement lorsqu’ils téléchargent et utilisent des applications gratuites sur leurs téléphones”, a déclaré Eshoo. “Il serait difficile d’imaginer que les consommateurs y consentent s’ils en avaient réellement l’option, mais c’est fonctionnellement ce qui se passe.”

Mise à jour 21h45 : Ajout d’un commentaire de la Team Cymru.

Source : https://gizmodo.com/ncis-whistleblower-military-data-broker-cymru-wyden-1849564984