Rseau Voltaire

Comment les espions de la CIA

ont-ils eu accs la base de
donnes biomtrique Aadhaar ?
par Shelley Kasli

La Cour suprme indienne vient de reconnatre le droit la vie

prive comme un droit constitutionnel. Cette dernire devra
bientt se prononcer quant la lgalit de la gnralisation de
linstallation de dispositifs didentification biomtriques. Le mme
jour, Wikileaks avait mis en ligne des documents relatifs aux outils
dploys par la CIA dans ce but. En se servant des donnes dj
disponibles, les tats-Unis ont illgalement rcupr les donnes
biomtriques de prs dun milliard dIndiens. Ce que lon qualifiait
autrefois de pure fiction est maintenant devenu une ralit: nous
serons bientt tous instantanment identifiables par la CIA.

RSEAU VOLTAIRE | BANGALORE (INDE) | 30 AOT 2017

ENGLISH TRKE
A
ujourdhui, Wikileaks a publi des documents secrets manant du
projet ExpressLane de la CIA [1]. Ces documents dcrivent
une des cyberattaques menes par lAgence lencontre des
services de liaison, comprenant parmi beaucoup dautres lAgence de
Scurit nationale (NSA), le ministre de la Scurit intrieure (DHS), ainsi
que le Bureau fdral dinvestigation (FBI).

Le BST (Bureau des services techniques), une filiale de la CIA[2], dispose

dun systme de collecte de donnes biomtriques qui est fourni aux
services de liaison du monde entier, en contrepartie, ces derniers doivent
leur fournir toutes les donnes biomtriques rcupres grces ce
systme. Cependant, aux yeux de la CIA, ce partage volontaire ne
fonctionne pas ou ne suffit pas, car ExpressLane est un outil de
rcupration de donnes secret utilis par la CIA destin la fuite de
donnes en provenance de tels systmes fournis aux services de liaison.

En visite sur les sites de liaison, les agents du BST installent et utilisent
ExpressLane sous le prtexte de mettre jour les logiciels biomtriques.
Les officiers de liaison qui supervisent cette procdure ne se doutent de
rien, le systme permettant la fuite de donnes ayant lapparence dun
banal cran de prsentation Windows.
 Les principaux lments du systme BST proviennent de produits
fournis par Cross Match, une entreprise tats-unienne spcialise dans la
conception de logiciels biomtriques destins aux autorits ainsi quau
secteur du Renseignement[3]. La socit avait fait les gros titres en 2011
quand on disait que larme US stait servie dun produit de Cross Match
pour identifier Oussama Ben Laden lors de lopration qui avait conduit
ce qui a t prsent comme son assassinat au Pakistan[4].

La socit Cross Match homologue par lUIDAI

Lentreprise Cross Match tait un des principaux fournisseurs de matriel

biomtrique homologu par lUIDAI pour le programme Aadhaar
206/5000 [5]. En 2011, le gouvernement indien avait dcern le certificat
dagrment lentreprise. Cette dernire le ret le 7 octobre 2011 pour
son appareil Guardian , destin la collecte des empreintes
digitales[6], ainsi que pour son appareil I SCAN, un outil de scan des
deux iris [7]. Ces deux dispositifs utilisent la fonction dclenchement
automatique brevete par Cross Match, permettant ainsi la prise
dimages haute dfinition avec un minimum dinteraction humaine.

Le certificat dagrment a t obtenu suite la validation de tous les

tests ncessaires destins prouver la compatibilit des produits avec les
exigences de qualit de lUIDAI. Lorganisme dagrment est compos du
ple Standardisation du contrle et homologation de qualit (SCHQ), de
la direction du dpartement des Technologies de linformation du
gouvernement indien, ainsi que de lUIDAI. Les tests du SCHQ taient
labors daprs les critres suivants : physique & dimensionnel, qualit
dimage, environnemental (durabilit/climatique), sret, EMI/EMC,
scurit, fonctionnalit, interoprabilit, facilit dutilisation et ergonomie.

La plupart des entreprises denregistrement agres par lUIDAI font

usage dappareils Cross Match partout en Inde. Cross Match tait
galement la premire entreprise se voir octroyer lagrment provisoire
dans le cadre du programme UID en septembre 2010. Une vido
prsentant les appareils Guardian et I SCAN de Cross Match a t
retire du site officiel de lUIDAI.

Lentreprise Francisco Partners

En 2012, Francisco Partners a fait lacquisition de Cross Match

Technologies [8]. La socit compte plus de 5 000 clients travers le
monde et a fabriqu plus de 250 000 produits utiliss dans plus de 80
pays. Font partie des clients de Cross Match : le ministre de la Dfense
des tats-Unis, le ministre de la Scurit de la patrie, le Dpartement
dtat, ainsi que diffrents gouvernements fdrs et des autorits
locales; tout comme de nombreux gouvernements trangers ainsi que les
forces de lordre. Cross Match apporte galement des solutions en
biomtrie pour des clients en qute de mobilit, pour protger une
infrastructure essentielle, des services financiers, ainsi que dans les
secteurs de lducation et de la sant.

Dans le portefeuille de socits de lentreprise Francisco Partners figure

une entreprise isralienne de vente de cyber armes appele NSO
Group [9]. Le programme malveillant dnomm Pegasus iOS
dvelopp par la socit tait li des attaques sur les iphones dun
minent militant des mirats Arabes Unis dune part et dun journaliste
mexicain dautre part[10].

Des chercheurs du Citizen lab de luniversit de Toronto ainsi que

dautres de lentreprise de scurit itinrante Lookout ont soulev des
questions quant lthique de NSO Group, un fournisseur
gouvernemental de logiciels espions, fond par un tudiant issu des
meilleures agences de Renseignement israliennes[11]. Francisco Partners
a investi dans la socit hauteur de 120 millions de dollars en 2014.
Citizen lab a rvl que le logiciel malveillant Pegasus de chez NSO visait
les iphones dun journaliste mexicain ainsi que dun militant des mirats
Arabes Unis. Le mme jour, le magazine Forbes rvla que Francisco
Partners avait allong sa liste dinvestissements, comprenant en plus une
entreprise de surveillance, elle aussi finance par Isral, qui vend du
matriel controvers destin au piratage dlments du rseau mondial
des tlcommunications, que lon appelle SS7[12]. Une source proche du
contrat rvla Forbes, quil en cota la socit dinvestissement priv
130 millions de dollars.

Gouvernements espions, militants et journalistes

Francisco Partners a galement men les oprations despionnage de

Turquie en vendant son Deep Packet Inspection des fins de
surveillance[13]. Le Deep Packet Inspection rend la surveillance possible
ds le dpart. Sa fonction premire est douvrir des paquets de
donnes circulant sur le rseau et de les inspecter afin de vrifier sils
doivent circuler. Le DPI a dj fait la une des journaux cause de cas
o son utilisation sest avre controverse. La Chine par exemple se plat
exploiter le DPI des fins de censure et de surveillance de masse. La
socit Blue Coat Systems base en Californie Sunnyvale, pour laquelle
Francisco Partners tait un investisseur important, a vu sa technologie DPI
filtrer Internet en Syrie en 2011, ds le commencement de la guerre civile.
Les militants des droits de lhomme observaient inquiets, mais lentreprise
Blue Coat rpondit plus tard que ctait la faute des revendeurs et quelle
navait pas donn son accord pour que cette technologie arrive dans le
pays. Plus tard, un revendeur sest mme vu infliger une amende record
dun montant de 2,8 millions de dollars par le Bureau de lIndustrie et de
la scurit (BIS) [14]. Francisco Partners dtient galement des
participations chez Barracuda Networks ainsi que Dell Software, qui toutes
deux livrent des produits DPI.

Le pionnier dAadhaar dans le secteur de la

biomtrie

Lessence mme du programme Aadhaar est de se baser sur des donnes

biomtriques et dmographiques propres chaque citoyen. Ces donnes
ne peuvent tre rcupres que grce la mobilisation dappareils
biomtriques ainsi que par des logiciels compatibles: les 2e et 3e tapes
de la chane de valeur dAadhaar[15].

Le partenaire indien de la socit Cross Match dans le cadre du

programme UID est la compagnie Smart Identity Devices (Smart ID)[16].
La socit Smart Identity Devices ou Smart ID fut une entreprise pionnire
dans le domaine de la biomtrie ainsi que lentreprise leader lors du
dveloppement du programme Aadhaar. Smart ID fournit en technologie
biomtrique, cartes puces ainsi quen produits et services lis la
technologie de la communication et de linformation, de nombreux
secteurs dactivit comme les services financiers, le gouvernement et les
services de scurit informatique. Smart ID est base Noida en Inde, elle
a dbut les oprations commerciales en 2008 et est dirige par Sanjeev
Mathur. Les appareils conus par la socit sont utiliss par les entreprises
denregistrement travers toute lInde dans le cadre du programme
Aadhaar.

Les produits et services dvelopps par Smart ID vont des dispositifs

biomtriques aux applications mobiles, en passant par des services tels
que la formation lutilisation du programme Aadhaar, la gestion de
projet, lhbergement informatique ainsi que la gestion de la
correspondance commerciale. partir de 2014, Smart ID tait capable de
raliser des activits denregistrement travers lInde comme, au
Jharkhand, au Tamil Nadu, en Odisha, en Uttar Pradesh, au Bengale-
Occidental ainsi quau Madhya Pradesh. Lentreprise Smart ID a dj
permis lenregistrement de plus de 1,2 millions de citoyens dans le
programme Aadhaar par le biais de ses agences. En juillet 2011, lUIDAI a
reconnu Smart ID comme tant une des trois meilleures agences en la
matire pour avoir permis lenregistrement de plus de 25 millions de
citoyens sur une trs courte priode.

Le scanner empreintes digitales Patrol ID de chez Smart ID cotait

environ 2300 dollars en 2014. Et ces quipements ont t mis en place
travers tout le pays. Il serait intressant de savoir combien cette socit-
cran de la CIA a pu toucher de la part du gouvernement indien pour ce
faire. Disons que lUIDAI ait install 10 000 appareils de la CIA pigs
travers le pays (ce qui est une estimation trs prudente), cela
reprsenterait la somme astronomique de 1473554800 roupies.
 Comment les agents de la CIA ont-ils accs la
base de donnes Aadhar en temps-rel?

Un certain nombre de cyber attaques de la CIA sont conues pour la

surveillance rapproche. Ce mode opratoire permet de pntrer un
rseau de haute scurit dconnect dinternet, comme les bases de
donnes de la police. Dans ce cas de figure, lofficier ou agent de la CIA
ou lofficier dun service de Renseignement connexe, agissant sur ordre,
infiltre physiquement le lieu de travail dsign. Il aura au pralable t
fourni au hacker une cl USB contenant un logiciel malveillant dvelopp
pour la CIA dans ce but, laquelle sera introduite dans lordinateur cible.
Cest alors que le hacker infecte les donnes et extrait ces dernires vers le
support amovible. Par exemple, Fine Dining, le systme dattaque mis au
point par la CIA fournit 24 applications leurres que les espions de la CIA
peuvent utiliser [17]. Pour les non-initis, lespion semble lancer un
programme de visionnage de vidos (ex: VLC), ou de diapositives (Prezi),
ou bien jouer un jeu vido (Breakout 2, 2048) ou encore mme lancer un
faux scan antivirus (Kaspersky, McAfee, Sophos). Cependant, pendant que
lapplication leurre est visible lcran, le programme sexcutant en toile
de fond est systmatiquement attaqu et infect.

Le systme Fine Dining est assorti dun questionnaire normalis cest

dire un menu que les agents de la CIA compltent. Le questionnaire est
utilis par la Direction du Soutien des oprations (DSO) de lagence pour
transformer les demandes des agents en exigences techniques afin de
rendre possibles des attaques pirates (gnralement lexfiltration de
donnes en provenance de systmes informatiques) dans le cadre
doprations spciales [18]. Le questionnaire permet la DSO de savoir
comment adapter des outils existants lopration, et le faire savoir
lquipe en charge de paramtrer les logiciels espions de la CIA. La DSO
fait ainsi office dintermdiaire entre le personnel oprationnel de la CIA
et le personnel technique.

Parmi lensemble des cibles potentielles figurent les actifs, les actifs
de liaison , les administrateurs systme , les renseignements
secrets , les organismes de Renseignement tranger , les entits
gouvernementales trangres. On peut remarquer qu aucun moment il
nest fait mention dextrmistes ou de criminels transnationaux. Il est
galement demand lagent de prciser lenvironnement de la cible
comme le type dordinateur, le systme dexploitation utilis, la
connectivit internet et les logiciels antivirus installs, tout comme une
liste du type de fichiers extraire comme : des documents Office, des
fichiers son, vido, des images ou bien des types de fichiers spcifiques.
Le menu demande aussi des informations du type: laccs rgulier la
cible est-il possible ? Pendant combien de temps peut-on ne pas avoir
accs lordinateur? Cette information est utilise par le logiciel de la CIA
dnomm JQJIMPROVISE afin de permettre la configuration dun kit
de logiciels espions pour rpondre aux besoins spcifiques dune
opration.
 Au bas de la page, vous trouverez le manuel de formation officiel, qui
en vous guidant pas pas, vous permettra de raliser linstallation et la
configuration de Cross Match pour lenregistrement dans Aadhaar. Ce
manuel dcrit galement la marche suivre pour importer des donnes
de rfrence aprs les avoir tlcharges du portail administrateur de
lUIDAI.

Il est surprenant de constater que les mots Aadhaar et Al-Qada ont la

mme signification et veulent dire : base de donnes ; Manu Joseph la
soulign dans un article paru dans Live mint[19]. On pourrait galement
ajouter que Aadhaar et Al-Qada sont tous deux les fils illgitimes de la
mme mre!

Shelley Kasli
Traduction
Jean-Charles Colin

Source
Great Game India (Inde)

[1] Vault 7: Projects. ExpressLane, Wikileaks, August 24, 2017.

[2] Le Bureau des service technique fait partie de la Direction de la science et de la technologie de la CIA.
Au cours des annes 50, ce bureau a tudi et expriment lusage de drogues, de produits chimiques,
dhypnose et disolement sensoriel pour extraire des informations pendant des interrogatoires. Voir
Spycraft: The Secret History of the CIAs Spytechs, from Communism to al-Qaeda, Robert Wallace & H. Keith
Melton, Dutton, 2008.

[3] Cross Match official website.

[4] Cross Matchs SEEK II may have identified bin Laden, Homeland Security News Wire, May 9, 2011.

[5] Aadhaar est un numro didentit unique de 12 chiffres dlivr tous les rsidents indiens en fonction
de leurs donnes biomtriques et dmographiques. Ces donnes sont collectes par lUnique Identification
Authority of India (UIDAI).

[6] Tenprint Livescan, Cross Match, consulted August 24, 2017.

[7] Portable Jumpkits, Cross Match, consulted August 24, 2017.

[8] Francisco Partners Acquires Biometrics Provider Cross Match Technologies, Francisco Partners, July 16,
2012.

[9] Everything We Know About NSO Group : The Professional Spies Who Hacked iPhones With A Single
Text, Thomas Fox-Brewster, Forbes, August 25, 2016.

[10] Wikileaks CIA Mega-Leak Implicates US And UK Spies In Deep iPhone Hacks, Thomas Fox-Brewster,
Forbes, May 7, 2017.

[11] The Million Dollar Dissident : NSO Groups iPhone Zero-Days used against a UAE Human Rights
Defender (6 parts), Bill Marczak & John Scott-Railton, Citizen Lab, August 24, 2016.

[12] For $20M, These Israeli Hackers Will Spy On Any Phone On The Planet, Thomas Fox-Brewster, Forbes,
May 31, 2016.

[13] Is An American Companys Technology Helping Turkey Spy On Its Citizens?, Thomas Fox-Brewster,
Forbes, October 25, 2016.

[14] Bureau of Industry and Security Announces $2.8 Million Civil Settlement with Computerlinks FZCO for
Charges Related to Unlawful Exporting of Technology to Syria, US Department of Commerce, April 25,
2013.

[15] Looking behind the Aadhaar Curtain, Unitus Seed Fund, April 4, 2014.

[16] Experiencing phenomenal growth driven in large part by the rapid and large-scale deployment of
Aadhaar, Indias biometrics market may reach $2 billion by 2018, Unitus Seed Fund, April 9, 2014.

[17] Fine Dining Tool Module Lists, Wikileaks, August 24, 2017.

[18] Operational Support Branch (OSB), Wikileaks, August 24, 2017.

[19] When you give your biometrics to Modi, Manu Joseph, Live Mint, April 7, 2017.

Source : Comment les espions de la CIA ont-ils eu accs la base de donnes biomtrique
Aadhaar?, par Shelley Kasli, Traduction Jean-Charles Colin, Great Game India (Inde), Rseau
Voltaire, 30 aot 2017, www.voltairenet.org/article197655.html