L'Agence de sécurité nationale américaine et ses partenaires du renseignement exploiteraient régulièrement les données volées par des hackers indépendants ou à la solde de certains états, pour en extraire des renseignements jugés de grande valeur. Même si, d'un côté, elles passent leur temps à alerter contre la menace que représentent les hackers qu'elles s'emploient par ailleurs à pourchasser, les agences de renseignement des États-Unis, du Canada et du Royaume-Uni ne se privent pas de se mettre dans leur sillage si cela peut servir leurs intérêts, comme l'a rapporté mercredi dernier le site The Intercept. « Les hackers volent les courriels de certaines de nos cibles... En espionnant les « prises » des pirates nous pouvons avoir accès directement aux courriels volés et savoir quelles données ont été compromises », indique une page wiki d'un service interne utilisé par les agences. La page, dont la dernière modification date de 2012, a été publiée par The Intercept. Elle fait partie des fichiers livrés à la presse par l'ancien consultant de la NSA Edward Snowden.
Ce gisement de données volées est désigné en interne par les membres de l'alliance Five Eyes ou FVEY, qui réunit les agences de renseignement des États-Unis, du Canada, du Royaume-Uni, de l'Australie et de la Nouvelle-Zélande, par le nom de code « Intolerant ». « Le trafic Intolerant est très organisé », indique la page wiki. « Chaque événement est étiqueté de telle sorte que l'on peut identifier et classer les victimes. Les cyberattaques sont couramment accompagnées d'une description de la victime. Elle permet d'identifier la cible et de savoir quelles attaques ont réussi et quelles attaques ont échoué ». Parmi les victimes des pirates associés au trafic « Intolerant » figurent des missions diplomatiques et la marine indienne, des missions diplomatiques d'Asie centrale, des défenseurs chinois des droits de l'homme, des personnalités pro-démocratie tibétaines ; des militants ouïghours ; le gouvernement tibétain en exil ; le représentant spécial de l'Union Européenne pour l'Afghanistan, et des photojournalistes indiens. Certaines de ces victimes ont été ciblées dans des attaques commanditées par un pays, probablement la Chine, déjà repérées par des entreprises de sécurité.
D'après la page wiki, compte tenu du niveau de sophistication des attaques et la nature des victimes ciblées, l'analyse des données « Intolerant » oriente vers les mêmes conclusions, à savoir des attaques commanditées par un gouvernement. Mais l'alliance Five Eyes ne se contente pas d'extraire des informations des données volées par les pirates. Elle surveille également les blogs et les flux des comptes Twitter des chercheurs en sécurité dans le cadre de ce que l'on appelle l'intelligence Open Source ou OSINT. Un autre programme, nom de code Horse Lovely, créé par le Government Communications Headquarters (GCHQ, « Quartier général des communications du gouvernement »), surveille de nombreux flux Twitter, dont ceux de chercheurs en sécurité de haut niveau comme Tavis Ormandy, Alexander Sotirov, Dave Aitel, Dino Dai Zovi, Halvar Flake, HD Moore, Kevin Mitnick, Mikko Hyppönen, Mark Dowd et The Grugq. En janvier, dans un article exploitant des documents divulgués par Edward Snowden, le magazine allemand Der Spiegel fait référence à ce travail de cyberespionnage des agences de renseignement. L'article parle aussi de preuves selon lesquelles la NSA et ses partenaires pirateraient les réseaux de zombies.