Vault 7
Vault 7 est une série de documents que WikiLeaks a commencé à publier le , qui détaille des activités de la Central Intelligence Agency (CIA) dans le domaine de la surveillance électronique et de la cyberguerre.
Publication | |
---|---|
Éditeurs clés | WikiLeaks |
Objet | Surveillance de masse aux États-Unis (en) Cyberguerre |
Personnes et entités impliquées | Central Intelligence Agency |
Site web | wikileaks.org/ciav7p1 |
modifier |
La première publication, nommée Year Zero[1], est formée de 8 761 documents, supposément issus du Center for Cyber Intelligence[2],[3]. Les fichiers, datés de 2013 à 2016, comportent des détails sur les fonctionnalités des logiciels de l’agence, telles que la possibilité de compromettre des télévisions connectées, des navigateurs web (y compris Firefox, Google Chrome et Microsoft Edge), et les systèmes d’exploitation de la plupart des smartphones (y compris iOS d’Apple et Android de Google) et ordinateurs (notamment Windows, macOS et Linux).
Par la suite, WikiLeaks publie régulièrement de nouveaux documents traitant d'une méthode ou d'un outil en particulier. Ainsi, Dark Matter[4], parue le , révèle comment la CIA a pu pirater des produits Apple. Le , Marble Framework[5] indique les outils qu'utilise l'Agence pour masquer et brouiller les pistes après une attaque informatique. Grasshopper Framework, publié le , est une « trousse à outils » modulaire pour infecter des ordinateurs sous Microsoft Windows[6],[7]
Contexte
modifierWikileaks a commencé à parler de « Vault 7 » au début du mois de à travers une série de tweets énigmatiques[8]. Le , Wikileaks publie des documents de la CIA décrivant comment celle-ci surveille l’élection présidentielle française de 2012[9]. Les articles de presse au sujet de cette révélation indiquent que la publication a eu lieu « en vue de la série Vault 7 de la CIA à venir »[10].
Le , les autorités américaines chargées des services de renseignements américains et de la justice ont indiqué à l’agence de presse internationale Reuters qu’ils sont au courant d’une faille de sécurité à la CIA, qui a conduit à Vault 7 depuis la fin 2016. Les deux représentants ont dit qu’ils s’orientent vers les « contractuels » en tant que source la plus plausible de la fuite[11].
Publication
modifierLe premier lot de documents diffusé se composait de 7 818 pages web comprenant 943 pièces jointes, supposément issues du Centre for Cyber Intelligence[12], qui contient déjà plusieurs pages de la publication de documents de la NSA par Edward Snowden[13]. WikiLeaks n’a pas donné le nom de la source, mais a indiqué que les dossiers avaient « circulé entre des hackeurs de l’ancien gouvernement des États-Unis et des entrepreneurs de manière non autorisée, l’un d’eux ayant fourni à WikiLeaks une partie des archives ». Selon WikiLeaks, la source « souhaite lancer un débat public sur la sécurité, la création, l’utilisation, la prolifération et le contrôle démocratique de cyberarmes » puisque ces outils ont soulevé des questions qui « ont urgemment besoin d’être débattues en public, notamment le fait que les capacités d’intrusion de la CIA dépassent son mandat et le problème de la supervision publique de l’agence ».
WikiLeaks a caviardé les noms et d’autres informations d’identification des documents avant leur publication, tout en essayant de permettre des liens entre les personnes pouvant être repérées via des identificateurs uniques générés par WikiLeaks[14]. Il a aussi été indiqué qu’il allait reporter la publication du code source des cyberarmes, qui serait composé de plusieurs centaines de millions de lignes, « jusqu’à ce qu’un consensus émerge sur la nature technique et politique du programme de la CIA et la manière dont ces « armes » devraient être analysées, désarmées et publiées ». Le fondateur de WikiLeaks, Julian Assange, a affirmé que ce n’était qu’une partie d’une grande série, en disant : « Vault 7 est la publication la plus complète de fichiers d’espionnage américain jamais rendus publique ».
Le , des représentants du renseignement et de la justice américaine ont déclaré à l’agence de presse internationale Reuters qu’ils étaient au courant des problèmes de sécurité de la CIA, qui ont conduit à Vault 7 depuis la fin 2016. Les deux fonctionnaires ont dit qu’ils se sont concentrés sur les « entrepreneurs » comme la source la plus vraisemblable de la fuite[15]. La CIA a publié une déclaration disant « Le peuple américain devrait être profondément troublé par toute divulgation de WikiLeaks conçue pour endommager les capacités de la communauté du renseignement à protéger l’Amérique contre des terroristes ou d’autres adversaires. De telles divulgations ne mettent pas seulement en péril le personnel et les opérations américains, mais aussi équipent nos adversaires avec des outils et des informations pour nous faire du tort[16] ».
Authenticité
modifierQuand il a été interrogé sur l’authenticité des documents, le porte-parole de la CIA et ancien directeur du renseignement national Michael Hayden a répondu que l’organisation n’a « pas de commentaire à faire sur l’authenticité ou le contenu des prétendus documents issus du renseignement »[17], mais, s’exprimant sous couvert de l’anonymat, des responsables actuels et anciens du renseignement ont déclaré que les documents semblent authentiques[18].
Selon Edward Snowden, ancien employé de la NSA et lanceur d’alerte, les documents « semblent authentiques ». Robert M. Chesney, professeur de droit à l’université du Texas et directeur du programme de politique publique et de la technologie au Center for Strategic and International Studies (CSIS), a comparé Vault 7 aux outils de piratage de la NSA divulgués en 2016 par un groupe se faisant appeler The Shadow Brokers.
Technologies compromises
modifierSmartphones
modifierLes outils électroniques pourraient compromettre à la fois les systèmes d’exploitation iOS d’Apple et Android de Google. En ajoutant des logiciels malveillants sur le système d’exploitation Android, l’agence peut avoir accès aux communications sécurisées d’un appareil[19].
Apple a déclaré que « la plupart des problèmes publiés aujourd’hui ont déjà été corrigé dans le dernier iOS » et que la compagnie « va continuer à travailler pour répondre rapidement à toutes les vulnérabilités identifiées[20] ».
Services de messagerie
modifierSelon WikiLeaks, une fois qu’un smartphone Android a été infiltré, l’agence peut collecter le « trafic audio et textuel avant que le chiffrement ne soit appliqué ». Certains logiciels de l’agence seraient en mesure d’accéder à des messages envoyés par les services de messagerie instantanée. Cette méthode de consultation des messages diffère de l’obtention de l’accès par le décryptage de messages déjà chiffrés, ce qui n’a pas encore été signalé. Bien que le chiffrement des services de messagerie sécurisés qui offrent le chiffrement de bout en bout, tel que le Telegram, WhatsApp et Signal, n’a pas été signalé comme étant craqué, leur chiffrement peut être contourné en capturant l’entrée avant que le chiffrement ne soit appliqué, par des méthodes tel qu’un enregistrement de frappe ou de la saisie tactile par l’utilisateur.
Systèmes de contrôle de véhicule
modifierUn document montrerait que la CIA a recherché des moyens pour infecter les systèmes de contrôle de véhicule. WikiLeaks a déclaré « le but de ce contrôle n’est pas indiqué, mais il permettrait à la CIA de s’engager dans des assassinats presque indétectable[21] ». Cette déclaration a apporté un regain d’attention pour les théories du complot entourant la mort du journaliste Michael Hastings[22].
Weeping Angel
modifierL’une des suites logicielles, dont le nom de code serait « Weeping Angel » (« ange qui pleure »), est annoncée comme étant en mesure d’utiliser les téléviseurs connectés de Samsung comme des dispositifs d’écoute secrets. En , la CIA. avec les services de renseignement britanniques du MI5 a organisé un atelier commun pour améliorer le code « Weeping Angel », qui semble avoir particulièrement ciblé les téléviseurs Samsung de la série F8000 sortis en 2013. Il permettrait à un téléviseur connecté infecté d’être utilisé « comme un mouchard, enregistrant les conversations de la pièce et de les envoyer sur internet sur un serveur secret de la CIA.», même si elle semble être éteinte.
Windows
modifierLes documents font référence à une faille « injection de DLL FAX de Windows » exploitée dans les systèmes d’exploitation Windows XP, Windows Vista et Windows 7. Cela permettrait à un utilisateur malveillant de tenter de cacher ses logiciels malveillants dans la DLL d’une autre application. Cependant, un ordinateur doit déjà avoir été compromis par une autre méthode pour que l’injection puisse avoir lieu[23].
Les fuites ont également révélé que le code de copier-coller permettait une élévation des privilèges dans un environnement Windows 7. Ce code permet de contourner la fenêtre User Account Control (UAC), qui s’affiche lorsqu’un programme tente de s’exécuter avec des privilèges administrateur, sans que l’utilisateur en ait connaissance[24].
UEFI
modifierLe code de copier-coller qui était inclus dans les fuites permet l’exploitation des systèmes utilisant un système de démarrage UEFI en modifiant le noyau du système d’exploitation qui est chargé en mémoire vive avant la sortie de la séquence d’amorçage UEFI. Le code de copier-coller permet à un attaquant d’insérer un hook personnalisé qui peut être utilisé pour modifier arbitrairement le noyau du système d’exploitation en mémoire immédiatement avant que le contrôle de l’exécution ne soit confiée au noyau[25].
Dispositif d'offuscation
modifierLe , WikiLeaks révèle 676 fichiers de code source d'un framework (c'est-à-dire un ensemble d'outils et de composants logiciels à la base d'un logiciel) baptisé Marble. Celui-ci est utilisé pour empêcher les enquêteurs et les sociétés d’antivirus d'attribuer des virus, des chevaux de Troie et des attaques à la CIA[26].
Marble fait cela grâce à la technique d'offuscation, en insérant des fragments de texte en anglais mais aussi en chinois, russe, coréen, arabe et farsi (principale langue parlée en Iran). Le but est d'amener les enquêteurs à attribuer le code à d'autres attaquants, par exemple en considérant que la langue du créateur du logiciel malveillant n'est pas l'anglais américain, mais le chinois puis en feignant de vouloir dissimuler l'utilisation du chinois, attirant les enquêteurs encore plus fortement vers une mauvaise conclusion[27].
Marble était utilisé par l'Agence en 2016. Il a atteint sa version 1.0 en 2015. Le framework Marble est utilisé uniquement pour l'offuscation et ne contient pas de vulnérabilité ou d'exploit en lui-même[26]
Produits Apple
modifierLe , WikiLeaks dévoile la documentation de plusieurs projets de la CIA ayant pour but d'infecter le firmware des Macs d'Apple (ce qui signifie que l'infection persiste même si le système d'exploitation est réinstallé) et développée par le service « Embedded Development Branch » (EDB) de l'agence. Ces documents expliquent les techniques utilisées par la CIA pour gagner de la « persistance » sur les appareils Apple[28].
Le projet « Sonic Screwdriver », par exemple, permet à un attaquant, à partir d'un firmware modifié d'un adaptateur Apple Thunderbolt vers Ethernet, de prendre le contrôle d'un ordinateur de bureau ou portable Mac pendant qu'il démarre et même si ce dernier est protégé par un mot de passe[29].
Le manuel de « NightSkies » indique que ce programme malveillant s'attaquant aux données de l'utilisateur était déjà à sa version 1.2 en 2008 (soit un an après la sortie du premier iPhone), et expressément conçu pour être physiquement installé sur les iPhones fraîchement sortie d'usine[30].
D'après WikiLeaks, il est probable que la plupart des attaques physiques de la CIA contre les produits Apple ont infecté directement les chaines d'approvisionnement de l'organisation ciblée, en interceptant les ventes par correspondances et les envois postaux (en ouvrant les colis, infectant les appareils, et renvoyant le colis) partant des États-Unis ou autre autrement[28].
Apple précise qu'au moment de la révélation de ces documents, la plupart des failles décrites ont été corrigées et ne sont plus exploitables dans les appareils de la marque[31].
Notes et références
modifier- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Vault 7 » (voir la liste des auteurs).
- « Ce que l'on sait des méthodes d'espionnage de la CIA », sur liberation.fr, .
- (en) « WikiLeaks posts alleged CIA trove depicting mass hacking », CBS News/Associated Press, sur CBS News, (consulté le )
- (en) « WikiLeaks publishes 'biggest ever leak of secret CIA documents' », sur theguardian.com, .
- (en) Aaron Mamiit, « WikiLeaks Exposes CIA Tools Targeting MacBooks And iPhones: Here's What They Do », sur techtimes.com, (consulté le ).
- (en) Ellen Nakashima, « WikiLeaks’ latest release of CIA cyber-tools could blow the cover on agency hacking operations », sur Washington Post, (consulté le ).
- (en) Bruce Schneier, « Fourth WikiLeaks CIA Attack Tool Dump », sur schneier.com, (consulté le )
- (en) Dan Goodin, « WikiLeaks just dropped the CIA’s secret how-to for infecting Windows », sur Ars Technica, (consulté le ).
- (en) Stephanie Dube Dwilson, « What Is Vault 7 on WikiLeaks? », (consulté le ).
- (en) Kevin Poulsen, « Russia Turns WikiLeaks CIA Dump Into Disinformation », The Daily Beast, (consulté le ).
- (en) « CIA espionage orders for the 2012 French presidential election », WikiLeaks, (consulté le ).
- (en) « U.S intel, law enforcement officials aware of CIA breach since late last year », Reuters, .
- (en) Associated Press, « WikiLeaks claims to release thousands of CIA documents », CBS News, (lire en ligne, consulté le )
- (en) « WikiLeaks publishes massive trove of CIA spying files in 'Vault 7' release », The Independent, (consulté le ).
- (en) « Vault7 - Home », WikiLeaks (consulté le ), "Redactions" section
- (en) Reuters, « U.S intel, law enforcement officials aware of CIA breach since late last year »,
- (en) Jeremy Berke, « CIA: Americans 'should be deeply troubled' by WikiLeaks’ disclosure », Business Insider, (consulté le )
- (en) Scott Shane, Mark Mazzetti et Matthew Rosenberg, « WikiLeaks Releases Trove of Alleged C.I.A. Hacking Documents », The New York Times, (lire en ligne, consulté le ).
- (en) Brian Ross, James Gordon Meek, Randy Kreider et Liz Kreutz, « WikiLeaks docs allege CIA can hack smartphones, expose Frankfurt listening post », ABC News, .
- (en) Brian Barrett, « The CIA Can’t Crack Signal and WhatsApp Encryption, No Matter What You’ve Heard », Wired, (consulté le )
- (en) Rich McCormick, « Apple says it’s already patched 'many' iOS vulnerabilities identified in WikiLeaks’ CIA dump », The Verge, (consulté le )
- (en) « WikiLeaks 'Vault 7' dump reignites conspiracy theories surrounding death of Michael Hastings », The New Zealand Herald, (consulté le )
- (en) S. J. Prince, « WikiLeaks Vault 7 Conspiracy: Michael Hastings Assassinated by CIA Remote Car Hack? », sur Heavy.com, (consulté le ).
- (en) « Notepad++ Fix CIA Hacking Issue », sur notepad-plus-plus.org (consulté le ).
- (en) « Elevated COM Object UAC Bypass (WIN 7) ».
- (en) « ExitBootServices Hooking », WikiLeaks.
- (en) « Vault 7: Projects, Marble Framework », sur WikiLeaks, (consulté le ).
- (en) « Vault 7: Documents, Marble Framework », sur wikileaks.org, (consulté le ).
- (en) « Vault 7: Projects, Dark Matter », sur WikiLeaks, (consulté le ).
- (en) « Vault 7: Projects, Sonic Screwdriver », sur wikileaks.org, (consulté le )
- (en) « Vault 7: Projects, NightSkies v1.2 - User Guide », sur wikileaks.org, (consulté le )
- « Vault7 - Apple assure avoir corrigé « bon nombre » des failles exploitées par la CIA »,
Liens externes
modifier- (en) « Vault 7: CIA Hacking Tools Revealed », sur wikileaks.org (consulté le ).