XKeyscore ( XKEYSCORE ou XKS ) est un système informatique secret utilisé par l' Agence de sécurité nationale des États-Unis (NSA) pour rechercher et analyser les données Internet mondiales, qu'elle collecte en temps réel. La NSA a partagé XKeyscore avec d'autres agences de renseignement, notamment la Direction des signaux australienne , le Centre de sécurité des télécommunications du Canada, le Bureau de sécurité des télécommunications du gouvernement de la Nouvelle-Zélande , le quartier général des communications du gouvernement britannique , le quartier général du renseignement de défense du Japon et le Bundesnachrichtendienst allemand .
En juillet 2013, Edward Snowden a révélé publiquement le but du programme et son utilisation par la NSA dans les journaux The Sydney Morning Herald et O Globo . Le nom de code était déjà connu du public car il avait été mentionné dans des articles antérieurs et, comme de nombreux autres noms de code, il apparaît dans les offres d'emploi et les CV en ligne des employés.
Le 3 juillet 2014, la chaîne publique allemande Norddeutscher Rundfunk , membre de l'ARD , a publié des extraits du code source de XKeyscore.
Portée et fonctionnement
XKeyscore est un système complexe et plusieurs auteurs ont des interprétations différentes de ses capacités réelles. Edward Snowden et Glenn Greenwald ont déclaré que XKeyscore est un système qui permet une surveillance presque illimitée de n'importe qui n'importe où dans le monde, tandis que la NSA a affirmé que l'utilisation du système est limitée et restreinte.
Selon le Washington Post et le journaliste de sécurité nationale Marc Ambinder , XKeyscore est un système de récupération de données de la NSA qui se compose d'une série d'interfaces utilisateur, de bases de données dorsales , de serveurs et de logiciels qui sélectionnent certains types de données et de métadonnées que la NSA a déjà collectées à l'aide d'autres méthodes.
Selon Snowden et Greenwald
Le 26 janvier 2014, la chaîne de télévision allemande Norddeutscher Rundfunk a demandé à Edward Snowden dans son interview télévisée : « Que pourriez-vous faire si vous utilisiez XKeyscore ? » et il a répondu :
Vous pouvez lire les e-mails de n'importe qui dans le monde, de n'importe quelle personne pour laquelle vous avez une adresse e-mail. N'importe quel site Web : vous pouvez surveiller le trafic entrant et sortant. N'importe quel ordinateur devant lequel une personne est assise : vous pouvez le surveiller. N'importe quel ordinateur portable que vous suivez : vous pouvez le suivre pendant qu'il se déplace d'un endroit à un autre dans le monde. C'est un guichet unique pour accéder aux informations de la NSA. ... Vous pouvez marquer des individus ... Disons que vous travaillez dans une grande entreprise allemande et que je veux accéder à ce réseau, je peux suivre votre nom d'utilisateur sur un site Web sur un forum quelque part, je peux suivre votre vrai nom, je peux suivre les associations avec vos amis et je peux créer ce qu'on appelle une empreinte digitale, qui est une activité réseau qui vous est propre, ce qui signifie que partout où vous allez dans le monde, partout où vous essayez de cacher votre présence en ligne, votre identité.
Selon Glenn Greenwald du Guardian , les analystes de la NSA peuvent, grâce à des systèmes comme XKeyscore, « écouter tous les e-mails qu'ils veulent, tous les appels téléphoniques, les historiques de navigation, les documents Microsoft Word. Et tout cela sans avoir besoin de se rendre devant un tribunal, sans même avoir besoin d'obtenir l'approbation du superviseur de la part de l'analyste. »
Il a ajouté que la base de données de la NSA sur les communications collectées permet à ses analystes d'écouter « les appels ou de lire les e-mails de tout ce que la NSA a stocké, ou de consulter les historiques de navigation ou les termes de recherche Google que vous avez saisis, et elle les alerte également de toute activité ultérieure que les personnes connectées à cette adresse e-mail ou à cette adresse IP effectueront à l'avenir ».
Selon la NSA
Dans une déclaration officielle du 30 juillet 2013, la NSA a déclaré que « XKeyscore est utilisé dans le cadre du système légal de collecte de renseignements étrangers de la NSA » pour obtenir légalement des informations sur « des cibles légitimes de renseignement étranger en réponse aux exigences dont nos dirigeants ont besoin pour obtenir les informations nécessaires à la protection de notre nation et de ses intérêts. ... pour collecter les informations qui nous permettent d'accomplir nos missions avec succès – pour défendre la nation et protéger les troupes américaines et alliées à l'étranger. » En termes d'accès, un communiqué de presse de la NSA indique qu'il n'y a pas « d'accès incontrôlé des analystes aux données de collecte de la NSA. L'accès à XKeyscore, ainsi qu'à tous les outils d'analyse de la NSA, est limité uniquement au personnel qui en a besoin pour les tâches qui lui sont assignées. » et qu'il existe « des mécanismes rigoureux de surveillance et de conformité intégrés à plusieurs niveaux. L'une des caractéristiques du système est la capacité du système à limiter ce qu'un analyste peut faire avec un outil, en fonction de la source de la collecte et des responsabilités définies de chaque analyste. »
Fonctionnement



Selon une présentation de la NSA sur XKeyscore datant de 2013, il s'agit d'un « système d'exploitation/cadre d'analyse DNI ». DNI signifie Digital Network Intelligence, ce qui signifie des renseignements dérivés du trafic Internet.
Edward Snowden a déclaré à propos de XKeyscore : « C'est un moteur de recherche frontal » dans une interview avec la radio allemande Norddeutscher Rundfunk .
XKeyscore est un « logiciel Linux généralement déployé sur des serveurs Red Hat . Il utilise le serveur Web Apache et stocke les données collectées dans des bases de données MySQL ».
XKeyscore est considéré comme un programme « passif », dans le sens où il écoute, mais ne transmet rien sur les réseaux qu'il cible. Mais il peut déclencher d'autres systèmes, qui effectuent des attaques « actives » via des opérations d'accès personnalisées qui sont des « bascules », par exemple, la famille de programmes QUANTUM, notamment QUANTUMINSERT, QUANTUMHAND, QUANTUMTHEORY, QUANTUMBOT et QUANTUMCOPPER et Turbulence . Ceux-ci fonctionnent sur des « sites défensifs », notamment la base aérienne de Ramstein en Allemagne, la base aérienne de Yokota au Japon et de nombreux sites militaires et non militaires aux États-Unis. Trafficthief, un programme central de Turbulence, peut alerter les analystes de la NSA lorsque leurs cibles communiquent et déclencher d'autres programmes logiciels, de sorte que certaines données soient « promues » du magasin de données local XKeyscore vers les « référentiels d'entreprise » de la NSA pour un stockage à long terme.
Sources de données
XKeyscore comprend plus de 700 serveurs sur environ 150 sites où la NSA collecte des données, comme « les installations militaires et autres installations américaines et alliées ainsi que les ambassades et consulats américains » dans de nombreux pays à travers le monde. Parmi les installations impliquées dans le programme figurent quatre bases en Australie et une en Nouvelle-Zélande .
Selon une présentation de la NSA de 2008, ces serveurs XKeyscore sont alimentés par des données provenant des systèmes de collecte suivants :
- F6 (Special Collection Service) – opération conjointe de la CIA et de la NSA qui mène des opérations clandestines, notamment l'espionnage de diplomates et de dirigeants étrangers
- FORNSAT – qui signifie « collecte par satellite étranger » et fait référence aux interceptions provenant de satellites
- SSO (Special Source Operations) – une division de la NSA qui coopère avec les fournisseurs de télécommunications
Dans une seule diapositive non datée publiée par les médias suédois en décembre 2013, les sources de données supplémentaires suivantes pour XKeyscore sont mentionnées :
- Overhead – renseignements obtenus à partir d’avions espions, de drones et de satellites américains
- Tailored Access Operations – une division de la NSA qui s’occupe du piratage informatique et de la cyberguerre
- FISA – tous les types de surveillance approuvés par le Foreign Intelligence Surveillance Court
- Tierce partie – partenaires étrangers de la NSA tels que les agences de renseignement (d’origine électromagnétique) de Belgique, du Danemark, de France, d’Allemagne, d’Italie, du Japon, des Pays-Bas, de Norvège, de Suède, etc. Cependant, les Pays-Bas ne participent à aucune coopération concernant la collecte et le partage de renseignements à des fins d’espionnage illégal.
À partir de ces sources, XKeyscore stocke des « données complètes », indexées par des plug-ins qui extraient certains types de métadonnées (comme les numéros de téléphone, les adresses e-mail, les identifiants et l'activité des utilisateurs) et les indexent dans des tables de métadonnées, qui peuvent être interrogées par les analystes. XKeyscore a été intégré à MARINA , la base de données de la NSA pour les métadonnées Internet.
Cependant, le système reçoit en permanence tellement de données Internet qu'elles ne peuvent être stockées que pendant de courtes périodes. Les données de contenu ne restent sur le système que trois à cinq jours, tandis que les métadonnées sont stockées jusqu'à trente jours. Un commentaire détaillé d'une présentation de la NSA publié dans The Guardian en juillet 2013 cite un document publié en 2008 déclarant que « sur certains sites, la quantité de données que nous recevons par jour (plus de 20 téraoctets) ne peut être stockée que pendant 24 heures. »
Types de XKeyscore
Selon un document provenant d'un site Web interne du GCHQ qui a été divulgué par le magazine allemand Der Spiegel en juin 2014, il existe trois types différents du système XKeyscore :
- Traditionnel : La version initiale de XKeyscore est alimentée par des données provenant de signaux de données à faible débit, après avoir été traitées par le système WEALTHYCLUSTER. Cette version traditionnelle n'est pas seulement utilisée par la NSA mais également sur de nombreux sites d'interception du GCHQ.
- Étape 2 : Cette version de XKeyscore est utilisée pour des débits de données plus élevés. Les données sont d'abord traitées par le système TURMOIL, qui envoie 5 % des paquets de données Internet à XKeyscore. Le GCHQ n'utilise cette version que pour sa collecte dans le cadre du programme MUSCULAR .
- Deep Dive : Cette dernière version peut traiter le trafic Internet à des débits de données de 10 gigabits par seconde. Les données qui pourraient être utiles à des fins de renseignement sont ensuite sélectionnées et transmises à l'aide du « langage de sélection GENESIS ». Le GCHQ exploite également un certain nombre de versions Deep Dive de XKeyscore à trois endroits sous le nom de code TEMPORA .
Capacités

Pour les analystes, XKeyscore fournit une « série de visualiseurs pour les types de données courants », qui leur permet d'interroger des téraoctets de données brutes collectées sur les sites de collecte susmentionnés. Cela leur permet de trouver des cibles qui ne peuvent pas être trouvées en recherchant uniquement les métadonnées, et également de le faire sur des ensembles de données qui, autrement, auraient été abandonnés par les systèmes de traitement de données frontaux. Selon une diapositive d'une présentation de XKeyscore, les sites de collecte de la NSA sélectionnent et transmettent moins de 5 % du trafic Internet à la base de données PINWALE pour le contenu Internet.
Étant donné que XKeyscore conserve le trafic de communication brut et non sélectionné, les analystes peuvent non seulement effectuer des requêtes à l'aide de « sélecteurs puissants » tels que les adresses e-mail, mais également à l'aide de « sélecteurs souples », tels que les mots-clés, sur les textes du corps des messages électroniques et de chat, ainsi que sur les documents numériques et les feuilles de calcul en anglais, en arabe et en chinois.
Cela est utile car « une grande partie du temps passé sur le Web consiste à effectuer des actions anonymes » et par conséquent ces activités ne peuvent pas être trouvées en recherchant simplement les adresses e-mail d'une cible. Une fois le contenu trouvé, l'analyste peut être en mesure de trouver de nouvelles informations ou un sélecteur puissant, qui peut ensuite être utilisé pour lancer une recherche traditionnelle.
Outre l'utilisation de sélecteurs logiciels, les analystes peuvent également utiliser les autres fonctionnalités XKeyscore suivantes :
- Recherchez l'utilisation de Google Maps et les termes saisis dans un moteur de recherche par des cibles connues à la recherche d'objets ou de lieux suspects.
- Recherchez des « anomalies » sans personne en particulier, comme la détection de la nationalité des étrangers en analysant la langue utilisée dans les courriers électroniques interceptés. Un exemple serait un germanophone au Pakistan. Le journal brésilien O Globo affirme que cette méthode a été appliquée à l'Amérique latine et plus particulièrement à la Colombie, à l'Équateur, au Mexique et au Venezuela.
- Détectez les personnes qui utilisent le chiffrement en effectuant des recherches telles que « toute utilisation de PGP en Iran ». La mise en garde est que des requêtes très larges peuvent entraîner trop de données à transmettre à l'analyste.
- Montrant l'utilisation des réseaux privés virtuels (VPN) et des machines pouvant potentiellement être piratées via TAO .
- Suivez la source et la paternité d’un document qui est passé entre de nombreuses mains.
- Le 3 juillet 2014, ARD a révélé que XKeyscore est utilisé pour surveiller de près les utilisateurs du réseau d'anonymat Tor , les personnes qui recherchent des logiciels améliorant la confidentialité sur le Web, et les lecteurs du Linux Journal .
Le Guardian a révélé en 2013 que la plupart de ces éléments ne peuvent pas être détectés par d'autres outils de la NSA, car ils fonctionnent avec des sélecteurs puissants (comme les adresses e-mail, les adresses IP et les numéros de téléphone) et les volumes de données brutes sont trop élevés pour être transmis à d'autres bases de données de la NSA.
En 2008, la NSA prévoyait d'ajouter un certain nombre de nouvelles fonctionnalités à l'avenir, notamment l'accès à la VoIP et à d'autres protocoles réseau non spécifiés, ainsi que des formes supplémentaires de métadonnées telles que les balises Exif , qui incluent souvent des données de géolocalisation ( GPS ).
Contribution à la sécurité des États-Unis
Les diapositives de la NSA publiées dans The Guardian en 2013 affirmaient que XKeyscore avait joué un rôle dans la capture de 300 terroristes d'ici 2008, ce qui n'a pas pu être confirmé car les documents expurgés ne citent pas d'exemples d'interventions terroristes.
Un rapport de 2011 de l'unité de la NSA du complexe Dagger (près de Griesheim en Allemagne) a déclaré que XKeyscore permettait de cibler plus facilement et plus efficacement la surveillance. Auparavant, les analyses accédaient souvent à des données qui n'intéressaient pas la NSA. XKeyscore leur a permis de se concentrer sur les sujets visés, tout en ignorant les données sans rapport. XKeyscore s'est également avéré remarquable pour le suivi des groupes actifs associés au mouvement Anonymous en Allemagne, car il permet de rechercher des modèles plutôt que des individus particuliers. Un analyste est en mesure de déterminer quand les cibles recherchent de nouveaux sujets ou développent de nouveaux comportements.
Pour créer une motivation supplémentaire, la NSA a incorporé diverses fonctionnalités de gamification . Par exemple, les analystes particulièrement doués dans l'utilisation de XKeyscore pouvaient acquérir des points « Skillz » et « débloquer des succès ». Les unités de formation de Griesheim ont apparemment été couronnées de succès et les analystes y ont obtenu la « moyenne de points Skillz la plus élevée » par rapport à tous les autres départements de la NSA participant au programme de formation.
Utilisation de la NSA par des partenaires étrangers
Allemagne

Selon des documents obtenus par Der Spiegel auprès de Snowden, les services de renseignement allemands BND (renseignements extérieurs) et BfV (renseignements intérieurs) ont également été autorisés à utiliser le système XKeyscore. Dans ces documents, l'agence BND était décrite comme le partenaire le plus prolifique de la NSA en matière de collecte d'informations. Cela a conduit à des confrontations politiques, à la suite desquelles les directeurs des services de renseignement allemands ont informé les membres de la commission parlementaire de surveillance du renseignement allemand le 25 juillet 2013. Ils ont déclaré que XKeyscore était utilisé par le BND depuis 2007 et que le BfV utilisait une version test depuis 2012. Les directeurs ont également expliqué que le programme ne servait pas à collecter des données, mais uniquement à les analyser.
Suède
Dans le cadre de l' accord UKUSA , un traité secret a été signé en 1954 par la Suède avec les États-Unis, le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande (appelés les Five Eyes ) dans le but de collaborer en matière de renseignement et de partage de données . Selon des documents divulgués par Snowden, le National Defence Radio Establishment (FRA) a obtenu l'accès à XKeyscore.
Danemark
Dans un scandale en cours, où il a été révélé que la NSA avait aidé FE (Service de renseignement militaire danois) à construire un nouveau centre de données d'espionnage à Sandagergård, Amager, XKeyscore a été mis à la disposition de FE pour être utilisé sur les données collectées.
Japon
Les documents classifiés divulgués par Snowden indiquent également qu’en avril 2013, la NSA avait secrètement fourni le système XKeyscore au gouvernement japonais .