Les meilleures équipes de sécurité de Google ont unilatéralement mis fin à une opération antiterroriste

Bureau de Google

Unsplash





  • Les équipes de sécurité de Google ont dévoilé publiquement une opération de piratage de neuf mois
  • Ce qui n'a pas été révélé : cette décision a mis fin à une opération antiterroriste active menée par un gouvernement occidental
  • La décision a sonné l'alarme au sein de Google et ailleurs

Google gère certaines des opérations de cybersécurité les plus vénérées de la planète : ses Projet Zéro équipe, par exemple, trouve de puissantes vulnérabilités de sécurité non découvertes, tandis que son Groupe d'analyse des menaces contrecarre directement le piratage soutenu par les gouvernements, notamment la Corée du Nord, la Chine et la Russie. Et ces deux équipes ont récemment attrapé un gros poisson inattendu : un groupe d'experts en piratage exploitant 11 vulnérabilités puissantes pour compromettre les appareils exécutant iOS, Android et Windows.

Mais MIT Technology Review a appris que les pirates en question étaient en fait des agents du gouvernement occidental menant activement une opération antiterroriste. La décision de l'entreprise d'arrêter et de rendre publique l'attaque a provoqué des divisions internes chez Google et soulevé des questions au sein des communautés du renseignement des États-Unis et de ses alliés.

Google dit qu'il est trop facile pour les pirates de trouver de nouvelles failles de sécurité Les attaquants exploitent sans cesse les mêmes types de vulnérabilités logicielles, car les entreprises manquent souvent la forêt pour les arbres.

Une paire de Google récents articles de blog détail la collection de vulnérabilités zero-day qu'il a découvertes en utilisant des pirates au cours de neuf mois. Les exploits, qui remontaient au début de 2020 et utilisaient des techniques inédites, étaient des attaques par trou d'eau qui utilisaient des sites Web infectés pour fournir des logiciels malveillants aux visiteurs. Ils ont attiré l'attention des experts en cybersécurité grâce à leur échelle, leur sophistication et leur rapidité.



L'annonce de Google a toutefois omis de manière flagrante des détails clés, notamment qui était responsable du piratage et qui était ciblé, ainsi que des informations techniques importantes sur le logiciel malveillant ou les domaines utilisés dans l'opération. Au moins certaines de ces informations seraient généralement rendues publiques d'une manière ou d'une autre, ce qui amènerait un expert en sécurité à critiquer le rapport comme un trou noir.

Différentes questions éthiques

Les sociétés de sécurité bloquent régulièrement les exploits utilisés par des gouvernements amis, mais ces actions sont rarement rendues publiques. En réponse à cet incident, certains employés de Google ont fait valoir que les missions antiterroristes ne devraient pas être divulguées au public ; d'autres pensent que l'entreprise était entièrement dans son droit et que l'annonce sert à protéger les utilisateurs et à rendre Internet plus sûr.

Project Zero se consacre à la recherche et à la correction des vulnérabilités 0-day, et à la publication de recherches techniques conçues pour faire progresser la compréhension des nouvelles vulnérabilités de sécurité et des techniques d'exploitation dans la communauté des chercheurs, a déclaré un porte-parole de Google dans un communiqué. Nous pensons que le partage de ces recherches conduit à de meilleures stratégies défensives et augmente la sécurité pour tous. Nous n'effectuons pas d'attribution dans le cadre de cette recherche.



Il est vrai que Project Zero n'attribue pas formellement le piratage à des groupes spécifiques. Mais le groupe d'analyse des menaces, qui a également travaillé sur le projet, procède à l'attribution. Google a omis bien plus de détails que le nom du gouvernement derrière les piratages, et grâce à ces informations, les équipes savaient en interne qui étaient le pirate et ses cibles. Il n'est pas clair si Google a prévenu à l'avance les responsables gouvernementaux qu'ils publieraient et arrêteraient la méthode d'attaque.

Mais les opérations occidentales sont reconnaissables, selon un ancien haut responsable du renseignement américain.

Il y a certaines caractéristiques dans les opérations occidentales qui ne sont pas présentes dans d'autres entités … vous pouvez le voir se traduire dans le code, a déclaré l'ancien responsable, qui n'est pas autorisé à commenter les opérations et a parlé sous couvert d'anonymat. Et c'est là, je pense, qu'intervient l'une des principales dimensions éthiques. La façon dont on traite les activités de renseignement ou les activités d'application de la loi sous contrôle démocratique au sein d'un gouvernement représentatif légalement élu est très différente de celle d'un régime autoritaire.



Il y a certaines caractéristiques dans les opérations occidentales qui ne sont pas présentes dans d'autres entités… vous pouvez le voir se traduire dans le code.

La surveillance est intégrée aux opérations occidentales au niveau technique, artisanal et des procédures, ont-ils ajouté.

Google a découvert que le groupe de piratage exploitait 11 vulnérabilités zero-day en seulement neuf mois, un nombre élevé d'exploits sur une courte période. Les logiciels attaqués comprenaient le navigateur Safari sur les iPhones, mais également de nombreux produits Google, notamment le navigateur Chrome sur les téléphones Android et les ordinateurs Windows.



Mais la conclusion au sein de Google était que qui piratait et pourquoi n'est jamais aussi important que les failles de sécurité elles-mêmes. Plus tôt cette année, Maddie Stone de Project Zero a fait valoir que c'est trop facile pour les hackers pour trouver et utiliser de puissantes vulnérabilités zero-day et que son équipe fait face à une bataille difficile détection de leur utilisation.

Au lieu de se concentrer sur qui était derrière et ciblé par une opération spécifique, Google a décidé de prendre des mesures plus larges pour tout le monde. La justification était que même si un gouvernement occidental était celui qui exploitait ces vulnérabilités aujourd'hui, il finira par être utilisé par d'autres, et donc le bon choix est toujours de corriger la faille aujourd'hui.

Ce n'est pas leur travail de comprendre

C'est loin d'être la première fois qu'une équipe de cybersécurité occidentale capture des pirates informatiques de pays alliés. Certaines entreprises, cependant, ont pour politique discrète de ne pas exposer publiquement ces opérations de piratage si l'équipe de sécurité et les pirates sont considérés comme amicaux, par exemple, s'ils sont membres de l'alliance de renseignement Five Eyes, qui est composée des États-Unis. , le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande. Plusieurs membres des équipes de sécurité de Google sont des vétérans des agences de renseignement occidentales, et certains ont mené des campagnes de piratage pour ces gouvernements.

Dans certains cas , les sociétés de sécurité nettoieront les logiciels malveillants dits conviviaux, mais éviteront de les rendre publics.

Ils n'attribuent généralement pas les opérations basées aux États-Unis, explique Sasha Romanosky, un ancien responsable du Pentagone qui a publié récemment rechercher dans les enquêtes de cybersécurité du secteur privé. Ils nous ont dit qu'ils s'éloignaient spécifiquement. Ce n'est pas leur travail de comprendre; ils s'écartent poliment. Ce n'est pas inattendu.

Bien que la situation de Google soit à certains égards inhabituelle, il y a eu des cas quelque peu similaires dans le passé. La société russe de cybersécurité Kaspersky a fait faillite Feu en 2018, lorsqu'il a révélé une cyber-opération antiterroriste dirigée par les États-Unis contre des membres de l'Etat islamique et d'Al-Qaïda au Moyen-Orient. Kaspersky, comme Google, n'a pas explicitement attribué la menace mais l'a néanmoins exposée et rendue inutile, ont déclaré des responsables américains, ce qui a fait perdre aux agents l'accès à un programme de surveillance précieux et a même mis la vie de soldats sur le terrain en danger.

Kaspersky faisait déjà l'objet de vives critiques pour ses relations avec le gouvernement russe à l'époque, et la société a finalement été banni des systèmes du gouvernement américain. Il a toujours nié avoir une relation particulière avec le Kremlin.

Google s'est également retrouvé dans une eau similaire auparavant. En 2019, la société a publié rechercher sur ce qui aurait pu être un groupe de piratage américain, bien qu'une attribution spécifique n'ait jamais été faite. Mais cette recherche portait sur une opération historique. Les récentes annonces de Google ont cependant mis en lumière ce qui avait été une opération de cyber-espionnage en direct.

Qui est protégé ?

Les alarmes déclenchées à la fois au sein du gouvernement et chez Google montrent que l'entreprise est dans une position difficile.

Les équipes de sécurité de Google ont une responsabilité envers les clients de l'entreprise, et on s'attend généralement à ce qu'elles fassent tout leur possible pour protéger les produits, et donc les utilisateurs, qui sont attaqués. Dans cet incident, il est à noter que les techniques utilisées ont affecté non seulement les produits Google tels que Chrome et Android, mais également les iPhones.

Alors que différentes équipes tracent leurs propres lignes, Project Zero s'est fait un nom en s'attaquant aux vulnérabilités critiques partout sur Internet, pas seulement à celles trouvées dans les produits de Google.

La NSA a trouvé une faille dangereuse dans Windows et a demandé à Microsoft de la corriger L'agence de sécurité secrète a identifié la vulnérabilité et s'attribue le mérite public dans le cadre d'un effort visant à instaurer la confiance.

Chaque pas que nous faisons pour rendre 0-day difficile nous rend tous plus sûrs, a tweeté Maddie Stone , l'un des membres les plus respectés de l'équipe de sécurité, lorsque les dernières recherches ont été publiées.

Mais s'il est important de protéger les clients contre les attaques, certains affirment que les opérations de lutte contre le terrorisme sont différentes, avec des conséquences potentiellement mortelles qui vont au-delà de la sécurité Internet quotidienne.

Lorsque des pirates informatiques soutenus par l'État dans les pays occidentaux découvrent des failles de cybersécurité, il existe des méthodes établies pour déterminer les coûts et les avantages potentiels de la divulgation de la faille de sécurité à l'entreprise concernée. Aux États-Unis, cela s'appelle le processus des vulnérabilités des actions. Les critiques craignent que les services de renseignement américains accumulent un grand nombre d'exploits, mais le système américain est plus formel, transparent et expansif que ce qui se fait dans presque tous les autres pays du monde, y compris les alliés occidentaux. Le processus est destiné à permettre aux responsables gouvernementaux d'équilibrer les avantages de garder les failles secrètes afin de les utiliser à des fins de renseignement avec les avantages plus larges d'informer une entreprise technologique d'une faiblesse afin de la faire corriger.

Le niveau de surveillance, même dans les démocraties occidentales, de ce que font réellement leurs agences de sécurité nationale est, dans de nombreux cas, bien inférieur à celui que nous avons aux États-Unis.

L'année dernière, la NSA a pris la décision inhabituelle de s'attribuer le mérite de révélant une ancienne faille dans Microsoft Windows . Ce genre de rapport du gouvernement à l'industrie est normalement gardé anonyme et souvent secret.

Mais même si le processus de divulgation du système de renseignement américain peut être opaque, des processus similaires dans d'autres pays occidentaux sont souvent plus petits, plus secrets ou simplement informels et donc faciles à contourner.

Le niveau de surveillance, même dans les démocraties occidentales, de ce que font réellement leurs agences de sécurité nationale est, dans de nombreux cas, bien inférieur à celui que nous avons aux États-Unis, déclare Michael Daniel, qui était coordinateur de la cybersécurité à la Maison Blanche pour l'administration Obama.

Le degré de contrôle parlementaire est bien moindre. Ces pays ne disposent pas des solides processus inter-agences dont disposent les États-Unis. Normalement, je ne suis pas du genre à me vanter des États-Unis - nous avons beaucoup de problèmes - mais c'est un domaine où nous avons des processus solides que les autres démocraties occidentales n'ont tout simplement pas.

Le fait que le groupe de piratage visé par l'enquête de Google possédait et utilisait autant de vulnérabilités zero-day si rapidement pourrait indiquer un déséquilibre problématique. Mais certains observateurs craignent que des cyberopérations antiterroristes en direct ne soient arrêtées à des moments potentiellement décisifs sans pouvoir redémarrer rapidement.

Les alliés américains n'ont pas tous la capacité de régénérer des opérations entières aussi rapidement que certains autres acteurs, a déclaré l'ancien haut responsable du renseignement américain. Les craintes de perdre soudainement l'accès à une capacité d'exploit ou d'être repéré par une cible sont particulièrement élevées pour les missions antiterroristes, en particulier pendant les périodes d'exposition incroyable où de nombreuses exploitations ont lieu, a expliqué le responsable. La capacité de Google à arrêter une telle opération est susceptible d'être la source de plus de conflits.

C'est encore quelque chose qui n'a pas été bien traité, a déclaré le responsable. L'idée que quelqu'un comme Google puisse détruire autant de capacités rapidement commence lentement à se faire jour.

cacher