Vault 7

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Vault 7 est une série de documents que WikiLeaks a commencé à publier le 7 mars 2017, qui détaille des activités de la Central Intelligence Agency (CIA) dans le domaine de la surveillance électronique et de la cyber-guerre.

La première publication, nommée Year Zero[1], est formée de 8 761 documents, supposément issus du Center for Cyber Intelligence[2],[3]. Les fichiers, datés de 2013 à 2016, comportent des détails sur les fonctionnalités des logiciels de l’agence, telles que la possibilité de compromettre des télévisions connectées, des navigateurs web (y compris Firefox, Google Chrome, et Microsoft Edge), et les systèmes d’exploitation de la plupart des smartphones (y compris iOS d’Apple et Android de Google), ainsi que d’autres systèmes d’exploitation tels que Microsoft Windows, macOS et Linux.

Par la suite, WikiLeaks publia régulièrement de nouveaux documents traitant d'une méthode ou d'un outil en particulier. Ainsi, Dark Matter[4], parue le 23 mars 2017, révèle comment la CIA a pu pirater des produits Apple. Le 31 mars, Marble Framework[5] indique les outils qu'utilise l'Agence pour masquer et brouiller les pistes après une attaque informatique. Grasshopper Framework, publié le 5 avril, apprend que la CIA utilise une « trousse à outils » modulaire pour infecter des ordinateurs sous Microsoft Windows.

Publication[modifier | modifier le code]

Le premier lot de documents à être diffusé se composait de 7818 pages web avec 943 pièces jointes, supposément issu du Centre for Cyber Intelligence[6], qui contient déjà plusieurs pages de la publication de documents de la NSA par Edward Snowden[7]. WikiLeaks n’a pas donné le nom de la source, mais a indiqué que les dossiers avaient « circulé entre des hackeurs de l’ancien gouvernement des États-Unis et des entrepreneurs de manière non autorisée, l’un d’eux ayant fourni à WikiLeaks une partie des archives ». Selon WikiLeaks, la source « souhaite lancer un débat public sur la sécurité, la création, l’utilisation, la prolifération et le contrôle démocratique de cyberarmes » puisque ces outils ont soulevé des questions qui « ont urgemment besoin d’être débattues en public, notamment le fait que les capacités d’intrusion de la CIA dépassent son mandat et le problème de la supervision publique de l’agence ».

WikiLeaks a caviardé les noms et d’autres informations d’identification des documents avant leur publication, tout en essayant de permettre des liens entre les personnes pouvant être repérées via des identificateurs uniques générés par WikiLeaks[8]. Il a aussi été indiqué qu’il allait reporter la publication du code source des cyber-armes, qui serait composé de plusieurs centaines de millions de lignes, « jusqu’à ce qu’un consensus émerge sur la nature technique et politique du programme de la CIA et la manière dont ces « armes » devraient être analysées, désarmées et publiées ». Le fondateur de WikiLeaks, Julian Assange, a affirmé que ce n’était qu’une partie d’une grande série, en disant : « Vault 7 est la publication la plus complète de fichiers d’espionnage américain jamais rendus publique ».

Le 8 mars 2017, des représentants du renseignement et de la justice américaine ont déclaré à l’agence de presse internationale Reuters qu’ils étaient au courant des problèmes de sécurité de la CIA, qui ont conduit à Vault 7 depuis la fin 2016. Les deux fonctionnaires ont dit qu’ils se sont concentrés sur les « entrepreneurs » comme la source la plus vraisemblable de la fuite[9]. La CIA a publié une déclaration disant « Le peuple américain devrait être profondément troublé par toute divulgation de WikiLeaks conçue pour endommager les capacités de la communauté du renseignement à protéger l’Amérique contre des terroristes ou d’autres adversaires. De telles divulgations ne mettent pas seulement en péril le personnel et les opérations américains, mais aussi équipent nos adversaires avec des outils et des informations pour nous faire du tort[10] ».

Authenticité[modifier | modifier le code]

Quand il fut interrogé sur l’authenticité des documents, le porte-parole de la CIA et l’ancien directeur du renseignement national, Michael Hayden, ont répondu que l’organisation n’a « pas de commentaire à faire sur l’authenticité ou le contenu des prétendus documents issus du renseignement[11] », mais, s’exprimant sous couvert de l’anonymat, des responsables actuels et anciens du renseignement ont déclaré que les documents semblent authentiques[12].

Selon Edward Snowden, ancien employé de la NSA et lanceur d’alerte, les documents « semblent authentiques ». Robert M. Chesney, professeur de droit à l’université du Texas et directeur du programme de politique publique et de la technologie au Center for strategic and International Studies (CSIS), a comparé Vault 7 aux outils de piratage de la NSA divulgués en 2016 par un groupe se faisant appeler The Shadow Brokers.

 Technologies compromises[modifier | modifier le code]

Smartphones[modifier | modifier le code]

Les outils électroniques pourraient compromettre à la fois les systèmes d’exploitation iOS d’Apple et Android de Google. En ajoutant des logiciels malveillants sur le système d’exploitation Android, l’agence peut avoir accès aux communications sécurisées d’un appareil[13].

Apple a déclaré que « la plupart des problèmes publiés aujourd’hui ont déjà été corrigé dans le dernier iOS » et que la compagnie « va continuer à travailler pour répondre rapidement à toutes les vulnérabilités identifiées[14] ».

Services de messagerie[modifier | modifier le code]

Selon WikiLeaks, une fois qu’un smartphone Android a été infiltré, l’agence peut collecter le « trafic audio et textuel avant que le chiffrement ne soit appliqué ». Certains logiciels de l’agence seraient en mesure d’accéder à des messages envoyés par les services de messagerie instantanée. Cette méthode de consultation des messages diffère de l’obtention de l’accès par le décryptage de messages déjà chiffrés, ce qui n’a pas encore été signalé. Bien que le chiffrement des services de messagerie sécurisés qui offrent le chiffrement de bout en bout, tel que le Telegram, WhatsApp et Signal, n’a pas été signalé comme étant craqué, leur chiffrement peut être contourné en capturant l’entrée avant que le chiffrement ne soit appliqué, par des méthodes tel qu’un enregistrement de frappe ou de la saisie tactile par l’utilisateur.

Systèmes de contrôle de véhicule[modifier | modifier le code]

Un document montrerait que la CIA a recherché des moyens pour infecter les systèmes de contrôle de véhicule. WikiLeaks a déclaré « le but de ce contrôle n’est pas indiqué, mais il permettrait à la CIA de s’engager dans des assassinats presque indétectable[15] ». Cette déclaration a apporté un regain d’attention pour les théories du complot entourant la mort du journaliste Michael Hastings[16].

Weeping Angel[modifier | modifier le code]

L’une des suites logicielles, dont le nom de code serait « Weeping Angel » (« ange qui pleure »), est annoncée comme étant en mesure d’utiliser les téléviseurs connectés de Samsung comme des dispositifs d’écoute secrets. En juin 2014, la C. I. A. avec les services de renseignement britanniques du MI5 a organisé un atelier commun pour améliorer le code « Weeping Angel », qui semble avoir particulièrement ciblé les téléviseurs Samsung de la série F8000 sortis en 2013. Il permettrait à un téléviseur connecté infecté d’être utilisé « comme un mouchard, enregistrant les conversations de la pièce et de les envoyer sur internet sur un serveur secret de la C. I. A.», même si elle semble être éteinte.

Windows[modifier | modifier le code]

Les documents font référence à une faille « injection de DLL FAX de Windows » exploitée dans les systèmes d’exploitation Windows XP, Windows Vista et Windows 7. Cela permettrait à un utilisateur malveillant de tenter de cacher ses logiciels malveillants dans la DLL d’une autre application. Cependant, un ordinateur doit déjà avoir été compromis par une autre méthode pour que l’injection puisse avoir lieu[17].

Les fuites ont également révélé que le code de copier-coller permettait une élévation des privilèges dans un environnement Windows 7. Ce code permet de contourner la fenêtre User Account Control (UAC), qui s’affiche lorsqu’un programme tente de s’exécuter avec des privilèges administrateur, sans que l’utilisateur en ait connaissance[18].

UEFI[modifier | modifier le code]

Le code de copier-coller qui était inclus dans les fuites permet l’exploitation des systèmes utilisant un système de démarrage UEFI en modifiant le noyau du système d’exploitation qui est chargé en mémoire vive avant la sortie de la séquence d’amorçage UEFI. Le code de copier-coller permet à un attaquant d’insérer un hook personnalisé qui peut être utilisé pour modifier arbitrairement le noyau du système d’exploitation en mémoire immédiatement avant que le contrôle de l’exécution ne soit confiée au noyau[19].

Dispositif d'offuscation[modifier | modifier le code]

Le 31 mars 2017, WikiLeaks révèle 676 fichiers de code source d'un framework (c'est-à-dire un ensemble d'outils et de composants logiciels à la base d'un logiciel) baptisé Marble. Ce dernier est utilisé pour empêcher les enquêteurs et les sociétés d’antivirus d'attribuer des virus, des chevaux de Troie et des attaques à la CIA[20].

Marble fait cela grâce à la technique d'offuscation, en insérant des fragments de texte en anglais mais aussi en chinois, russe, coréen, arabe et farsi (principale langue parlée en Iran). Le but étant d'amener les enquêteurs à attribuer le code à d'autres attaquants, par exemple en considérant que la langue du créateur du logiciel malveillant n'est pas l'anglais américain, mais le chinois puis en feignant de vouloir dissimuler l'utilisation du chinois, attirant les enquêteurs encore plus fortement vers une mauvaise conclusion[21].

Marble était utilisé par l'Agence en 2016. Il a atteint sa version 1.0 en 2015. Le framework Marble est utilisé uniquement pour l'offuscation et ne contient pas de vulnérabilité ou d'exploit en lui-même[20]

Produits Apple[modifier | modifier le code]

Le 23 mars 2017, WikiLeaks dévoile la documentation de plusieurs projets de la CIA ayant pour but d'infecter le firmware des Macs d'Apple (ce qui signifie que l'infection persiste même si le système d'exploitation est réinstallé) et développée par le service « Embedded Development Branch » (EDB) de l'agence. Ces documents expliquent les techniques utilisées par la CIA pour gagner de la « persistance » sur les appareils Apple[22].

Le projet « Sonic Screwdriver », par exemple, permet à un attaquant, à partir d'un firmware modifié d'un adaptateur Apple Thunderbolt vers Ethernet, de prendre le contrôle d'un ordinateur de bureau ou portable Mac pendant qu'il démarre et même si ce dernier est protégé par un mot de passe[23].

Le manuel de « NightSkies » indique que ce programme malveillant s'attaquant aux données de l'utilisateur était déjà à sa version 1.2 en 2008 (soit un an après la sortie du premier iPhone), et expressément conçu pour être physiquement installé sur les iPhones fraîchement sortie d'usine[24].

D'après WikiLeaks, il est probable que la plupart des attaques physiques de la CIA contre les produits Apple ont infectées directement les chaines d'approvisionnement de l'organisation ciblée, en interceptant les ventes par correspondances et les envois postaux (en ouvrant les colis, infectant les appareils, et renvoyant le colis) partant des États-Unis ou autre autrement[22].

Apple précise qu'au moment de la révélation de ces documents, la plupart des failles décrites ont été corrigées et ne sont plus exploitables dans les appareils de la marque[25].

Notes et références[modifier | modifier le code]

  1. « Ce que l'on sait des méthodes d'espionnage de la CIA », sur liberation.fr, .
  2. (en) « WikiLeaks posts alleged CIA trove depicting mass hacking », CBS News/Associated Press, sur CBS News, (consulté le 7 mars 2017)
  3. (en) « WikiLeaks publishes 'biggest ever leak of secret CIA documents' », sur theguardian.com, .
  4. « Vault 7 « Dark Matter » : comment la CIA pirate les Mac et iPhone », sur sillicon.fr, (consulté le 7 avril 2017)
  5. « Marble Framework : le double jeu perfide des hackers de la CIA », sur sillicon.fr, (consulté le 7 avril 2017)
  6. (en) Associated Press, « WikiLeaks claims to release thousands of CIA documents », CBS News,‎ (lire en ligne)
  7. (en) « WikiLeaks publishes massive trove of CIA spying files in 'Vault 7' release », The Independent,
  8. (en) « Vault7 - Home », WikiLeaks (consulté le 10 mars 2017), "Redactions" section
  9. (en) Reuters, « U.S intel, law enforcement officials aware of CIA breach since late last year »,
  10. (en) Jeremy Berke, « CIA: Americans 'should be deeply troubled' by WikiLeaks’ disclosure », Business Insider, (consulté le 10 mars 2017)
  11. (en) Scott Shane, Mark Mazzetti et Matthew Rosenberg, « WikiLeaks Releases Trove of Alleged C.I.A. Hacking Documents », The New York Times,‎ (lire en ligne)
  12. (en) Brian Ross, James Gordon Meek, Randy Kreider et Liz Kreutz, « WikiLeaks docs allege CIA can hack smartphones, expose Frankfurt listening post », ABC News,
  13. (en) Brian Barrett, « The CIA Can’t Crack Signal and WhatsApp Encryption, No Matter What You’ve Heard », Wired, (consulté le 8 mars 2017)
  14. (en) Rich McCormick, « Apple says it’s already patched 'many' iOS vulnerabilities identified in WikiLeaks’ CIA dump », The Verge, (consulté le 8 mars 2017)
  15. (en) « WikiLeaks 'Vault 7' dump reignites conspiracy theories surrounding death of Michael Hastings », The New Zealand Herald,
  16. (en) S. J. Prince, « WikiLeaks Vault 7 Conspiracy: Michael Hastings Assassinated by CIA Remote Car Hack? », sur Heavy.com,
  17. (en) « Notepad++ Fix CIA Hacking Issue », sur notepad-plus-plus.org
  18. (en) « Elevated COM Object UAC Bypass (WIN 7) »
  19. (en) « ExitBootServices Hooking », WikiLeaks
  20. a et b (en) « Vault 7: Projects, Marble Framework », sur wikileaks.org, (consulté le 2 avril 2017)
  21. (en) « Vault 7: Documents, Marble Framework », sur wikileaks.org, (consulté le 2 avril 2017)
  22. a et b (en) « Vault 7: Projects, Dark Matter », sur 'wikileaks.org', (consulté le 1er avril 2017)
  23. (en) « Vault 7: Projects, Sonic Screwdriver », sur wikileaks.org, (consulté le 1er avril 2017)
  24. (en) « Vault 7: Projects, NightSkies v1.2 - User Guide », sur wikileaks.org, (consulté le 1er avril 2017)
  25. « Vault7 - Apple assure avoir corrigé « bon nombre » des failles exploitées par la CIA »,

Liens externes[modifier | modifier le code]