Une entreprise mystérieuse ayant des liens avec le gouvernement joue un rôle clé sur Internet
Les registres d’enregistrement panaméens de la société montrent qu’elle a la même liste d’officiers, d’agents et de partenaires qu’un fabricant de logiciels espions identifié cette année comme une filiale de Packet Forensics, basée en Arizona, qui, selon les registres des contrats publics et les documents de la société, a vendu des services d’interception de communication aux États-Unis. agences gouvernementales depuis plus d’une décennie.
L’un de ces partenaires TrustCor porte le même nom qu’une société holding gérée par Raymond Saulino, qui a été cité dans un article de Wired de 2010 en tant que porte-parole de Packet Forensics.
Saulino a également fait surface en 2021 en tant que contact pour une autre société, Global Resource Systems, qui a provoqué des spéculations dans le monde de la technologie lorsqu’elle s’est brièvement activée et a exécuté plus de 100 millions d’adresses IP auparavant inactives attribuées des décennies plus tôt au Pentagone. Le Pentagone a récupéré le territoire numérique des mois plus tard, et on ne sait toujours pas sur quoi portait le bref transfert, mais les chercheurs ont déclaré que l’activation de ces adresses IP aurait pu donner à l’armée un accès à une énorme quantité de trafic Internet sans révéler que le gouvernement le recevait. .
Le Pentagone n’a pas répondu à une demande de commentaire sur TrustCor. Après la publication de cette histoire, un dirigeant de TrustCor a déclaré que la société n’avait coopéré à aucune demande d’informations du gouvernement ni aidé un tiers à surveiller ses clients pour le compte d’autrui. Mozilla a exigé des réponses plus détaillées et a déclaré qu’il pourrait supprimer l’autorité de TrustCors.
Les produits TrustCors incluent un service de messagerie qui prétend être crypté de bout en bout, bien que des experts consultés par le Washington Post aient déclaré avoir trouvé des preuves pour saper cette affirmation. UN La version test du service de messagerie incluait également un logiciel espion développé par une société panaméenne liée à Packet Forensics, ont déclaré des chercheurs. Google a par la suite interdit tous les logiciels contenant ce code de logiciel espion de son App Store.
Une personne familière avec le travail de Packet Forensics a confirmé qu’elle avait utilisé le processus de certificat TrustCors et son service de messagerie, MsgSafe, pour intercepter les communications et aider le gouvernement américain à attraper des terroristes présumés.
Oui, Packet Forensics le fait, a déclaré la personne, s’exprimant sous couvert d’anonymat pour discuter des pratiques confidentielles.
L’avocate de Packet Forensics, Kathryn Tremel, a déclaré que la société n’avait aucune relation commerciale avec TrustCor. Elle a refusé de dire s’il en avait eu un auparavant.
La dernière découverte montre comment les complexités technologiques et commerciales du fonctionnement interne d’Internet peuvent être exploitées dans une mesure rarement révélée.
Cependant, des inquiétudes concernant les autorités de certification racine ont déjà été soulevées.
En 2019, une société de sécurité contrôlée par le gouvernement des Émirats arabes unis, connue sous le nom de DarkMatter, a demandé à être mise à niveau vers une autorité racine de haut niveau à partir d’une autorité intermédiaire avec moins d’indépendance. Cela faisait suite à des révélations sur DarkMatter piratant des dissidents et même certains Américains ; Mozilla lui a refusé le pouvoir root.
En 2015, Google a retiré l’autorité racine du China Internet Network Information Center (CNNIC) après avoir autorisé une autorité intermédiaire à émettre de faux certificats pour les sites Google.
Avec Packet Forensics, une trace écrite a conduit à son identification par des chercheurs deux fois cette année. Principalement connue pour vendre des dispositifs d’interception et des services de suivi aux autorités, la société a conclu quatre mois un contrat avec le Pentagone de 4,6 millions de dollars pour le traitement des données, l’hébergement et les services connexes.
Dans l’affaire précédente des logiciels espions, les chercheurs Joel Reardon de l’Université de Calgary et Serge Egelman de l’Université de Californie à Berkeley ont découvert qu’une société panaméenne, Measurement Systems, avait payé des développeurs pour inclure du code dans une variété d’applications inoffensives pour enregistrer et transmettre numéros de téléphone, adresses e-mail et emplacements exacts des utilisateurs. Ils ont estimé que ces applications ont été téléchargées plus de 60 millions de fois, dont 10 millions de téléchargements d’applications de prière musulmane.
Le site Web de Measurement Systems a été enregistré par Vostrom Holdings, selon les enregistrements de noms de domaine historiques. Vostrom a déposé des documents en 2007 pour faire affaire sous le nom de Packet Forensics, selon les archives de l’État de Virginie. Measurement Systems a été enregistré en Virginie par Saulino, selon un autre dossier d’État.
Après que les chercheurs aient partagé leurs découvertes, Google a démarré toutes les applications avec le code espion de son magasin d’applications Play.
Tremel a déclaré qu’une société précédemment associée à Packet Forensics était un client de Measurement Systems à un moment donné, mais qu’il n’y avait aucune participation dans la propriété.
Lorsque Reardon et Egelman ont examiné de plus près Vostrom, ils ont découvert qu’il avait enregistré le nom de domaine TrustCor.co, qui dirigeait les visiteurs vers le site principal de TrustCor. TrustCor a le même président, agents et partenaires de la société holding répertoriés dans les registres panaméens que Measurement Systems.
Une société portant le même nom que l’une des sociétés holding derrière TrustCor et Measurement Systems, Frigate Bay Holdings, a déposé des documents pour se dissoudre en mars auprès du secrétaire d’État du Wyoming, où il s’est formé. Les papiers ont été signés par Saulino, qui a indiqué son titre de manager. Il n’a pas pu être joint pour un commentaire.
TrustCor a délivré plus de 10 000 certificats, dont beaucoup pour des sites hébergés par un fournisseur de services de noms de domaine dynamique appelé No-IP, ont déclaré les chercheurs. Ce service permet aux sites Web d’être hébergés avec des adresses de protocole Internet en constante évolution.
Parce que l’autorité racine est si puissante, TrustCor peut également donner à d’autres le droit d’émettre des certificats.
Les certificats pour les sites Web sont visibles publiquement afin que les mauvais soient exposés tôt ou tard. Jusqu’à présent, aucun rapport n’a signalé que les certificats TrustCor aient été utilisés de manière inappropriée, par exemple en se portant garant de sites Web d’imposteurs. Les chercheurs ont émis l’hypothèse que le système n’est utilisé que contre des cibles de grande valeur dans de courtes fenêtres de temps. La personne familière avec les opérations de Packet Forensics a convenu que c’était en fait ainsi qu’il avait été utilisé.
Ils ont cette position de confiance ultime, où ils peuvent émettre des clés de cryptage pour n’importe quel site Web arbitraire et n’importe quelle adresse e-mail, a déclaré Egelman. C’est effrayant que cela soit fait par une entreprise privée louche.
La page de leadership du site Web TrustCors ne répertorie que deux hommes, identifiés comme co-fondateurs. Bien que cette page ne le dise pas, l’un d’eux est décédé il y a des mois, et les autres profils LinkedIn indiquent qu’il a quitté son poste de directeur de la technologie en 2019. Cet homme a refusé de commenter.
Le site Web répertorie un numéro de téléphone de contact au Panama, qui a été déconnecté, et un à Toronto, où aucun message n’a été renvoyé après plus d’une semaine. Le formulaire de contact par e-mail sur le site ne fonctionne pas. L’adresse physique à Toronto indiquée dans son rapport d’audit, 371 Front St. West, abrite un dépôt de courrier UPS Store.
TrustCor ajoute une autre couche de mystère avec son cabinet d’audit externe. Au lieu d’utiliser un grand cabinet comptable qui évalue la sécurité des sociétés d’infrastructure Internet, TrustCor en a sélectionné un appelé Princeton Audit Group, qui donne son adresse en tant que maison de ville résidentielle à Princeton, NJ.
Dans ses commentaires mardi sur une liste de diffusion pour les développeurs de Mozilla, la dirigeante de TrustCor, Rachel McPherson, a déclaré que sa société avait été victime d’attaques complexes qui impliquaient l’enregistrement de sociétés portant des noms similaires à ceux de ses actionnaires, peut-être pour aider à mettre en place une sorte de une attaque par phishing. Elle a dit qu’elle chercherait pourquoi certaines personnes figuraient sur la liste des officiers.
En plus de la puissance du certificat TrustCors, la société propose ce qui prétend être un courrier électronique crypté de bout en bout, MsgSafe.io. Mais les chercheurs ont déclaré que l’e-mail n’est pas crypté et peut être lu par l’entreprise, qui l’a présenté à divers groupes préoccupés par la surveillance.
MsgSafe a vanté sa sécurité à une variété de clients potentiels, y compris les partisans de Trump mécontents que Parler avait été abandonné par les magasins d’applications en janvier 2021, et aux utilisateurs du service de messagerie cryptée Tutanota qui n’ont pas pu se connecter aux services Microsoft.
Créez votre e-mail crypté de bout en bout gratuit aujourd’hui avec plus de 40 domaines parmi lesquels choisir et vous avez la garantie de fonctionner avec Microsoft Teams, la société tweeté en août.
Reardon a envoyé des messages de test sur MsgSafe qui semblaient non cryptés lors de la transmission, ce qui signifie que MsgSafe pouvait les lire à volonté. Egelman a effectué le même test avec le même résultat.
Jon Callas, un expert en cryptographie à l’Electronic Frontier Foundation, a également testé le système à la demande de The Posts et a déclaré que MsgSafe avait généré et conservé la clé privée de son compte, afin qu’il puisse déchiffrer tout ce qu’il envoyait.
La clé privée doit être sous le contrôle de la personne pour être de bout en bout, a expliqué Callas.
Packet Forensics a d’abord attiré l’attention des défenseurs de la vie privée il y a une douzaine d’années.
En 2010, le chercheur Chris Soghoian a assisté à une conférence de l’industrie sur invitation uniquement surnommée le Wiretappers Ball et a obtenu une brochure Packet Forensics destinée aux clients des forces de l’ordre et des agences de renseignement.
La brochure concernait un matériel informatique destiné à aider les acheteurs à lire le trafic Web que les parties pensaient sécurisé. Mais ce n’était pas le cas.
La communication IP dicte la nécessité d’examiner le trafic crypté à volonté, lit-on dans la brochure, selon un rapport de Wired qui cite Saulino comme porte-parole de Packet Forensics. Votre personnel d’enquête recueillera ses meilleures preuves tandis que les utilisateurs seront bercés par un faux sentiment de sécurité offert par le cryptage Web, e-mail ou VOIP, ajoute la brochure.
La brochure indiquait aux clients qu’ils pouvaient utiliser une clé de déchiffrement fournie par une ordonnance du tribunal ou une clé similaire.
Les chercheurs pensaient à l’époque que la manière la plus probable d’utiliser la boîte était avec un certificat délivré par une autorité pour de l’argent ou en vertu d’une ordonnance du tribunal qui garantirait l’authenticité d’un site de communication imposteur.
ils n’ont pas conclu qu’une autorité de certification entière elle-même pourrait être compromise.
Selon les experts, l’obtention d’une autorité de certification racine de confiance prend du temps et de l’argent pour l’infrastructure et pour l’audit requis par les navigateurs.
Chaque navigateur a des exigences légèrement différentes. Chez Mozillas Firefox, le processus prend deux ans et comprend une vérification participative et directe ainsi qu’un audit.
Mais tout cela se concentre généralement sur des déclarations formelles d’étapes technologiques, plutôt que sur des mystères de propriété et d’intention. La personne familière avec Packet Forensics a déclaré que les grandes entreprises technologiques étaient probablement des participants involontaires au jeu TrustCor : la plupart des gens ne font pas attention.
Avec suffisamment d’argent, vous ou moi pourrions devenir une autorité de certification racine de confiance, a déclaré Daniel Schwalbe, vice-président de la technologie chez Web Data Tracker DomainTools.
Mozilla reconnaît actuellement 169 autorités de certification racine, dont trois de TrustCor.
L’affaire met l’accent sur les problèmes de ce système, dans lequel des entreprises technologiques critiques sous-traitent leur confiance à des tiers ayant leurs propres agendas.
Vous ne pouvez pas amorcer la confiance, cela doit venir de quelque part, a déclaré Reardon. Les autorités de certification racine sont le noyau de confiance à partir duquel tout est construit. Et ce sera toujours bancal, car cela impliquera toujours des humains, des comités et des prises de décision.
Reardon et Egelman ont alerté Google, Mozilla et Apple de leurs recherches sur TrustCor en avril. Ils ont dit qu’ils avaient peu entendu parler jusqu’à mardi.
Après la publication de cette histoire, Mozilla a donné à TrustCor deux semaines pour répondre à une série de questions, notamment sur ses relations avec Measurement Systems et Packet Forensics, les agents partagés, et comment le code de logiciel espion interdit de Measurement Systems est entré dans une des premières applications MsgSafe.