WikiLeaks, le site spécialisé dans la publication de documents confidentiels, a mis en ligne mardi 7 mars un ensemble de documents, baptisé « Vault 7 » : un gigaoctet de fichiers datés de 2013 à 2016, issus d’un réseau interne de la Central Intelligence Agency (CIA) américaine, qui détaillent certains programmes d’espionnage électronique de l’agence.
Les quelque 8 761 documents donnent des détails techniques ou opérationnels sur plusieurs dizaines de programmes de la CIA – WikiLeaks affirme détenir des informations sur 500 programmes différents au total, et promet de publier dans les semaines à venir d’autres documents internes de la CIA. Les fichiers d’ores et déjà sortis lèvent le voile sur certains outils étonnants développés par l’agence américaine. Contrairement aux programmes secrets d’espionnage de masse de la National Security Agency (NSA), dont l’existence avait été révélée par Edward Snowden en 2013, ceux de la CIA semblent se concentrer sur l’espionnage ciblé – mais vont parfois très loin.
Les télés intelligentes pour espionner des cibles. Les documents de WikiLeaks révèlent que la CIA et le MI5, son équivalent britannique, ont développé ensemble un « malware » (logiciel malveillant) permettant d’espionner des téléviseurs connectés de la marque Samsung. Cet outil, nommé « Weeping Angel », fonctionne quand la télévision est, en apparence, éteinte : il est capable d’enregistrer le son environnant et de le transmettre à un serveur distant. Parmi les documents, figure notamment le compte rendu d’une réunion de travail entre la CIA et le MI5 pour améliorer cet outil, en « supprimant par exemple les LED pour améliorer l’apparence du mode fake-off » – le nom qu’ils ont donné au mode « faussement éteint ». Les deux agences ont aussi fait en sorte que la télévision ne puisse pas se mettre à jour, et donc éventuellement colmater certaines failles exploitées par Weeping Angel.
Des logiciels-espions pour iPhone, iPad et Android. Deux programmes décrits dans les documents visent spécifiquement iOS, le système d’exploitation qui équipe l’iPhone et l’iPad d’Apple. Le premier, baptisé « DRBOOM », est un logiciel-espion qui fonctionne sur les versions d’iOS jusqu’à iOS 8, « en une seule étape qui ne devrait pas prendre plus d’une minute ». L’installation nécessite cependant d’avoir un accès physique au téléphone, et de pouvoir le connecter à un Mac.
La CIA s’intéresse aussi de près au système d’exploitation Android, qui équipe la plupart des smartphones et tablettes dans le monde. Un des documents répertorie une vingtaine de failles a priori inconnues, que l’agence peut utiliser. Certaines semblent avoir été achetées à des tiers, ou obtenues auprès du GCHQ (« Quartier général des communications du gouvernement ») ou de la NSA, les agences de renseignement britannique et américaine. Certaines de ces failles ne s’appliquent qu’à des modèles spécifiques de smartphones, et visent à permettre à la CIA d’espionner les terminaux concernés.
Contourner les antivirus commerciaux. Parmi les nombreux logiciels d’espionnage développés ou utilisés par la CIA, l’un d’eux, baptisé « HammerDrill 2.0 » (« perceuse à percussion », en anglais), sert à pénétrer un ordinateur coupé de tout réseau informatique. Pour cela, un logiciel d’intrusion est placé sur un CD ou DVD vierge et s’active au moment de la gravure. Il contamine alors les fichiers exécutables. Il trompe par ailleurs le logiciel de gravure – en l’occurrence, Nero, l’un des plus populaires – pour lui faire croire que les fichiers vérolés qu’il grave ont toujours été là.
HammerDrill est par ailleurs conçu pour contourner la protection de Kaspersky Sandbox, un antivirus censé justement empêcher l’exécution de fichiers malicieux en milieu critique. Le trojan peut dès lors accéder à la racine des documents situés sur le disque et en faire une copie, tout comme garder trace des dossiers ultérieurement ajoutés ou supprimés. Les documents publiés par WikiLeaks ne précisent pas comment le CD ou DVD vierge est introduit dans un lieu protégé ni comment les informations récoltées sont ensuite récupérées. Plusieurs autres documents publiés par WikiLeaks détaillent des méthodes pour contourner les protections offertes par la plupart des antivirus du commerce.
Une librairie de failles de sécurité. La CIA tient à jour une vaste bibliothèque de failles de sécurité qui peuvent être utilisées « clé en main », baptisée « Umbrage ». Rassemblant des outils de piratage déjà connus, « cette base de données a pour but de fournir des morceaux de code qui peuvent être facilement intégrés dans des solutions personnalisées », explique l’agence dans sa documentation interne.
La pratique est un peu surprenante, mais les documents laissent aussi comprendre que la CIA a acheté, découvert et conservé des failles de sécurité dites « zero day » – des failles encore jamais répertoriées. Officiellement, le gouvernement américain a une politique à deux niveaux concernant ces failles, et doit répondre à une série de questions précises pour déterminer si elles doivent être communiquées au fabricant, ou si elles peuvent être exploitées par les services de renseignement. Mais la nature des failles « zero day » évoquées dans les documents laisse entendre que cette politique n’a pas réellement été mise en pratique.
Un faux lecteur multimédia. « Rain Maker v1.0 » est un logiciel qui semble tout droit sorti d’un film d’espionnage : il ressemble à un simple fichier audio ou vidéo, qui s’ouvre avec le lecteur VLC. Une fois ouvert, le fichier contient bien une vidéo… Mais aussi un programme qui collecte en tâche de fond les données de la machine. Ces dernières sont stockées dans des fichiers cachés. Conçu pour être utilisé sur une clé USB, le logiciel permet de dérober discrètement les données de la machine utilisée pour lire la vidéo.
Voir les contributions
Réutiliser ce contenu
