Le 24 avril 2013, à peine quelques semaines avant qu’Edward Snowden ne divulgue des documents sur le programme de surveillance de la National Security Agency (NSA), le général Keith B. Alexander, alors patron de l’agence, accueille un groupe de responsables du renseignement suédois pour une rencontre secrète de trois jours au QG de la NSA à Fort Meade, dans le Maryland. La délégation est conduite par Ingvar Akesson, qui dirige depuis 2003 l’Institut national de défense radio (Försvarets Radioanstalt, FRA), un service de renseignement très discret. Il s’agit notamment de discuter de l’importance croissante de la Suède pour la NSA. Une loi de 2008 a étendu les pouvoirs du FRA, l’autorisant à intercepter toutes les communications en provenance et à destination de la Suède transitant par les câbles sous-marins en fibre optique – notamment les courriels, les SMS et les appels téléphoniques. Cela présente un grand intérêt pour la NSA, d’autant qu’une bonne partie des communications russes transitent par la Suède. Les Suédois ont commencé en 2011 à partager avec la NSA les données ainsi recueillies. Celles-ci contenaient «un ensemble extraordinaire (de données de communications) concernant des cibles russes prioritaires tels que des dirigeants, des hommes politiques et des responsables du secteur de l’énergie», peut-on lire dans un document de la NSA datant de l’époque de la rencontre.
Appréciant les exceptionnelles capacités techniques et la réputation de confidentialité de l’agence d’espionnage suédoise, les responsables de la NSA y ont vu aussi un partenaire idéal pour son programme de piratage et de cyberguerre Quantum. Dans le cadre de Quantum, une ambitieuse opération baptisée Winterlight (lumière d’hiver) visait à pirater clandestinement des ordinateurs et des réseaux d’ordinateurs étrangers afin d’accéder non seulement aux communications, mais aussi à toutes les informations stockées sur les disques durs ou les serveurs en question. Les cibles étrangères possibles étaient les administrateurs de réseaux informatiques, des ministères, des grandes entreprises du secteur de l’énergie et de la défense ainsi que des groupes soupçonnés d’activités terroristes et des personnes nommément désignées. La méthode Quantum a servi également à infiltrer les ordinateurs du siège de l’OPEP (Organisation des pays exportateurs de pétrole) à Vienne ainsi que de la compagnie de télécoms belge Belgacom, qui compte parmi ses clients la Commission européenne et le Parlement européen.
Selon des documents de la NSA révélés par Edward Snowden, Winterlight utilisait une stratégie d’attaque complexe pour installer secrètement un logiciel malveillant sur l’ordinateur ou le réseau ciblé. Ce logiciel pouvait ensuite rediriger tous les signaux entre ces ordinateurs et internet, par l’intermédiaire de serveurs «voyous» de surveillance à haut débit appelés FoxAcid (renard acide), permettant ainsi à la NSA d’accéder en toute discrétion à presque toutes les données personnelles de l’utilisateur – et même de falsifier les données transitant d’un utilisateur à un autre. Selon le magazine Wired, l’attaque contre Belgacom a permis de «récupérer les empreintes numériques d’un certain nombre de salariés de la compagnie, d’identifier les adresses IP de leurs ordinateurs professionnels et personnels ainsi que leurs identifiants Skype, Gmail, Facebook et LinkedIn. Après quoi ont été mises en place de fausses pages personnelles, hébergées sur les serveurs FoxAcid, pour travestir, par exemple, la page profil d’un salarié sur LinkedIn».
Le programme Winterlight était une initiative conjointe de la NSA, du FRA suédois et du GCHQ britannique (Government Communications Headquarters), et il semble que les Suédois se soient chargés du piratage des ordinateurs et des réseaux d’ordinateurs. Le FRA installait les mouchards sur les ordinateurs ciblés pour rediriger leurs signaux vers les serveurs espions – une opération connue sous le nom de tipping (tuyautage) dans le jargon de la NSA –, permettant ainsi au GCHQ et à la NSA d’accéder aux données – ce qu’on appelle des shots (tirs). A l’époque de la réunion d’avril 2013, un document de la NSA indiquait: «Le mois dernier, notre partenaire suédois nous a informés que le GCHQ avait reçu du FRA des tips qui ont conduit à 100 shots.»