Est-ce que les banques Suisses, et leurs clients ont été espionnées par les Etats-Unis?

Nombreuses ont été les entreprises Suisses à subir les foudres des Etats-Unis. UBS, Crédit Suisse et prochaine victime, les caisses de pensions.

Le but de cet article n’est pas de blanchir les banques… Elles ont agi de manière particulièrement stupide et doivent en assumer les conséquences. Quand votre environnement change, une société intelligente doit savoir s’adapter rapidement – or là, elles ont profité de la débâcle de l’UBS pour récupérer ses clients « toxiques » au lieu de se faire discret.

Cet article ne va pas vous donner de réponse, car je n’en ai pas! Juste parler de ce qui est technologiquement possible et d’exemples dans lesquels certains outils ont été utilisés par les États-Unis pour mettre en place une surveillance massive.

Mais on peut quand même citer Glenn Greenwald :

« Il y a en outre des indices que la NSA a espionné le système bancaire helvétique. Les services secrets américains ont montré un grand intérêt notamment aux flux monétaires, signale le journaliste américain. »

http://www.lematin.ch/monde/suisse-doit-accorder-asile-snowden-estime-journaliste/story/27940069

Revenons quelques années en arrière! Je suis les États-Unis, des avions viennent de s’abattre sur des tours. Je deviens alors parano et désire mettre en place des outils me permettant de combattre le terrorisme. C’est pour cette raison qu’a été signé le Patriot Act.
http://en.wikipedia.org/wiki/Patriot_Act et https://ethack.org/article/43/le_patriot_act_ce_n_est_pas_juste_un_nom

Le Patriot Act c’est quoi? C’est entre autre donner aux services de sécurité (NSA), sans autorisation préalable et sans en informer les utilisateurs, d’accéder aux données informatiques détenues par les particuliers et les entreprises. Cela permet aux services secrets américains d’obliger les sociétés américaines à leur donner accès à tous les moyens permettant d’espionner des utilisateurs étrangers. Accès aux mails envoyés par Google, accès à vos communications Facebook, accès à vos communications Skype (dont le prix d’achat de $8.5 milliards a étonné beaucoup de professionnels…http://www.wired.com/2011/05/microsoft-buys-skype-2/ ), accès à votre ordinateur / système d’exploitation, accès à votre téléphone mobile, et la liste est encore longue!

Je suis la NSA, on me demande rapidement de trouver et prévenir d’éventuelles attaques. Quel va être ma première action? Tracer les flux financiers! C’est-à-dire mettre les banques sous écoutes.

Les banques Suisses sont une cible de choix!

www.swissinfo.ch/eng/politics/internal_affairs/Spies_target_banks_for_the_secrets_they_hold.html?cid=7493558

Première solution… pourquoi chercher trop loin. Swift est un traité entre l’union européenne et les Etats-Unis leur permettant de voir les transferts inter-banques.

http://www.spiegel.de/international/europe/nsa-spying-european-parliamentarians-call-for-swift-suspension-a-922920.html et http://fr.wikipedia.org/wiki/Accord_Swift

Les pays offrent les informations dont j’ai besoin sur un plateau doré… pourquoi ne pas en profiter!

Deuxième solution… Travailler avec Microsoft et Apple pour intégrer dans leur système d’exploitation des chevaux de Troie permettant de tracer toutes les données.

http://fr.wikipedia.org/wiki/NSAKEYhttp://www.forbes.com/sites/erikkain/2013/12/30/the-nsa-reportedly-has-total-access-to-your-iphone/. Facile, mais cela veut dire que tous les utilisateurs vont transférer des données étranges hors de leur téléphone ou ordinateur. Ce n’est pas très discret, et il y aura toujours des gens qui vont se demander par exemple pourquoi Apple gardait l’historique du déplacement des utilisateurs…http://www.theguardian.com/technology/2011/apr/20/iphone-tracking-prompts-privacy-fears

Si Microsoft ou Apple refusent de collaborer, pourquoi ne pas utiliser un programme qui voit déjà tout ce qui passe entre votre ordinateur et Internet. On a presque tous un anti-virus à l’exemple de Norton (Symantec), et/ou un firewall. Ces outils sont, par conception, obligés de vous espionner pour voir si il n’y a pas quelque chose en train de vous attaquer – ils sont ainsi très bien placés. Mais est-ce que leur seule fonction est vraiment de vous protéger?

Troisième solution… Cette solution est théorique, et je suis certain que les Etats-Unis nous considérant comme alliés n’ont pas implémenté cette possibilité! Ils n’espionnent pas leurs alliés (ironique)!http://www.dw.de/report-nsa-spying-on-merkel-aides/a-17452381

Mon but en tant que la NSA est que la solution soit discrète et que je puisse lancer des programmes d’espionnage sans que personne s’en rende compte!

Ma première étape sera de détourner tout le trafic entre les utilisateurs et ma cible. Par exemple le Crédit Suisse! Pour y arriver j’aurais premièrement besoin de modifier les routeurs afin qu’ils fassent passer toutes les communications qui arrivent sur une banque par mes propres ordinateurs. Lorsque vous allez sur Internet, votre communication passe par plusieurs “routeurs” qui prennent ce que vous envoyez et le redirige au bon endroit. Par exemple pourquoi ne pas modifier les routeurs soit en demandant à l’entreprise qui en fabrique le plus (CISCO) de le faire, soit en installant une version alternative du logiciel qui tourne sur ces routeurs.http://pro.clubic.com/it-business/securite-et-donnees/actualite-702087-nsa-soupconnee-installe-logiciels-espions-routeurs-fabriques-usa.html et http://freedomhacker.net/2014-04-router-firmware-built-with-backdoor-vulnerability-tcp-32764-reactivated

J’ai maintenant la possibilité de voir tout ce qui arrive sur une banque, une administration Suisse! Mais tout est chiffré…

Mon second problème est de rendre cela plus discret. Envoyer pleins des paquets aux Etats-Unis, c’est pas vraiment très discret! Le plus simple est d’installer des machines qui espionnent directement en Suisse. Pas trop loin des banques! Après j’envoie régulièrement un résumé des transactions entre les clients et leur banque: cette personne a envoyé cette somme d’argent à cette autre personne.

Cette attaque a pour nom : man-in-the-middle.

Heureusement la communication est chiffrée par du HTTPS / SSL. L’idée du SSL c’est que vous avez une autorité tierce (il y a environ 500 autorités de certifications). Par exemple la plus populaire est Verisign (appartenant aussi à Symantec qui fait Norton). Ces autorités ont signé un “deal” avec par exemple Mozilla, Microsoft et Apple pour qu’elles soient considérés comme étant des partenaires de confiance. Quand vous allez sur l’UBS, vous allez être certain que vous communiquez bien avec l’UBS et non un hacker – car Verisign le certifie ! Verisign est une société Américaine, donc soumise au Patriot Act;) ( https://ethack.org/article/48/ssl_ou_l_absence_de_la_moindre_assurance )

Une solution serait d’avoir un faux certificat signé dans notre cas par Verisign. (J’utilise une approche similaire pour faire du développement: http://portswigger.net/burp/help/proxy_using.html ). Je pense discuter avec la banque, mais en fait je discute avec un serveur de la NSA (certifié par Verisign). Derrière le serveur de la NSA discute avec la banque en se faisant passer pour moi.

Je pense : Utilisateur → {internet} →https://www.ubs.com – Certifié par Verisign

En réalité : Utilisateur →{internet, Certifié par Verisign} → NSA →{internet, Certifié par Verisign} →https://www.ubs.com

SSL est un très bon moyen de vous protéger contre les hackers, mais est-ce que c’est un bon moyen de vous protéger contre les Etats? Non!

Une fois que l’on a volé ou pris des informations, surtout à vos alliés, il faut blanchir ces informations. Est-ce que le piratage des données bancaires a initié une initiative de blanchiment appelée “FATCA”? FATCA permet de légitimer les informations collectée, et de pouvoir les utiliser au niveau légal. L’espionnage permet d’évaluer les impacts, et savoir contre qui diriger ses “canons” légaux.

http://fr.wikipedia.org/wiki/Foreign_Account_Tax_Compliance_Act

Est-ce que cela veut dire que je ne dois plus utiliser Internet ?

Non! Cela veut simplement dire qu’on doit savoir que ce qu’on fait actuellement sur Internet peut être intercepté par un État tierce. Qu’il ne peut pas utiliser ces données ouvertement. Faire par exemple un payement sur Internet reste une opération sans trop de risques. Leur but n’est pas de vous vider votre compte bancaire (pour l’instant…)

Comment fixer Internet ?

Internet est basé sur l’idée qu’on fait confiance à énormément de sociétés. Microsoft, Apple, Google, Swisscom, Cisco, Symantec (Verisign, Norton), Komodo, Amazon Web Services, …

Dans l’état actuel, Internet ne peut pas être fixé si ce n’est installer des logiciels tiers (donc faire confiance encore à d’autres sociétés). Une première étape est d’utiliser Linux, par exemplehttp://www.ubuntu.com

Marché libéral ?

Pour citer un article :

«Le fait est que la NSA cible certains secteurs qui sont souvent en concurrence avec des entreprises américaines», fait remarquer Glenn Greenwald. Il faut être très naïf, dit-il, pour croire qu’elle ne le fait pas pour obtenir des avantages économiques.

http://www.lematin.ch/monde/suisse-doit-accorder-asile-snowden-estime-journaliste/story/27940069

Il ne faut pas se faire d’illusion. Dans certains domaines « critiques » à l’exemple de la finance et des systèmes de communication, les US n’hésitent pas à tricher. Ils appellent cette triche brevets, jury populaires, sécurité nationale, évasion fiscale, etc

http://www.regards-citoyens.com/article-quand-la-nsa-pipe-les-des-ce-que-les-tres-grandes-oreilles-de-washington-conferent-comme-pouvoirs-120733910.html

On peut parler d’Huawei qui ne peut plus vendre aux Etats-Unis pour « risque à la sécurité ». Les Etats-Unis avaient vivement déconseillé à leur alliés d’utiliser les produits d’Huawei. Est-ce que c’était pour pourvoir continuer à les espionner ?

http://spectrum.ieee.org/tech-talk/computing/hardware/us-suspicions-of-chinas-huawei-based-partly-on-nsas-own-spy-tricks

http://gizmodo.com/5932204/should-the-world-be-scared-of-huawei

On peut parler des cartes biaisées entre Samsung et Apple par les Etats-Unis avec des brevets utilisés comme arme pour faire du protectionnisme biaisé.

http://lexpansion.lexpress.fr/high-tech/proces-apple-samsung-les-zones-d-ombres-du-verdict_1339203.html

Et est-ce que les attaques contre les banques Suisse n’ont pas pour but de les faire sortir du marché Américain ? La finance étant un secteur « critique » pour les USA.

Conclusion

On a vu:

  • Que les États-Unis ont le besoin de mettre les banques Suisse sous écoute.
  • Qu’ils en ont la possibilité technique avec la complicité de sociétés américaines.
  • Que les sociétés américaines sont obligées de participer (Patriot Act)
  • Que les États-Unis ne peuvent pas utiliser d’éventuelles données collectées ouvertement. Ils doivent « blanchir » les données. Ce qu’ils font au travers de traités comme FATCA.
  • Que les États-Unis sont particulièrement virulents contre les banques Suisses, comme s’ils avaient des informations évaluant les “dommages”.

En résumé pas de preuves directes… mais des éléments qui concordent.

Pourquoi cela nous touche aussi?

  • Car on risque de devoir passer à la caisse au travers de l’État… pour renflouer des banques.
  • Car on risque de devoir passer à la caisse directement au travers de nos comptes bancaires, de taux d’intérêts moins attractifs.
  • Car les banques peuvent déduire les amendes de leurs impôts – donc c’est des centaines de millions qu’il faudra financer autrement.
  • Les USA attaquent aussi les banques cantonales, donc l’actionnaire principal est les cantons. Qui dit pertes dans les banques cantonales dit potentiellement augmentation des impôts cantonaux.
  • Car certains fonds de pensions Suisse vont devoir payer des amendes, donc être renfloués ou payer moins d’argent à des individus en Suisse.
  • Car il y a nombre de Suisses qui ont aussi la nationalité américaine et qui ne peuvent plus ouvrir de comptes dans leur propre pays!

Note

Merci aux quelques personnes qui m’ont donné un retour sur le texte!