Celui qui n’aimait pas les mots de passe (rediffusion)
Ou comment la CIA va être victime d'une tonitruante fuite de données.
Bonjour,
On continue cette série autour du renseignement et de la cyber avec cette rediffusion de l’épisode de Pwned sur la fuite Vault 7, publié en février 2023. Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
Et bim ! Ce 7 mars 2017, après des révélations sur la corruption au Kenya, la divulgation de plusieurs centaines de milliers de documents sur les opérations militaires américaines en Irak et en Afghanistan ou encore la publication des Kissinger cables, WikiLeaks a encore frappé.
Ce site créé en 2006 par l’australien Julian Assange [dont Pwned vient justement de vous parler dans le dernier épisode] se présente comme une plateforme pour lanceurs d’alerte. Il vient de dévoiler Vault 7, une nouvelle fuite de données compromettante pour le gouvernement américain, sa cible favorite. Cette fois-ci, il s’agit de près de 9000 documents émanant de la CIA ultra sensibles détaillant ses armes numériques.
Alors oui, l’archive ne contient pas de code source. Mais la fuite reste très problématique, car elle lève le voile sur des dossiers ultra sensibles. On y apprend comment l’agence de renseignement a mis au point des programmes malveillants pour espionner ou prendre le contrôle d’appareils électroniques.
La CIA a ainsi planché sur des logiciels espions pour smartphones, des systèmes de contournement d’antivirus. Mais aussi, on l’apprendra plus tard, sur cet astucieux framework Marble. Ce dernier est conçu pour compliquer l’attribution, ces investigations menées après des attaques informatiques.
Par exemple, il permet de modifier à la volée la langue soit disant utilisée par le développeur. Si le logiciel malveillant semble édité en Farsi, vous en déduisez quoi vous?
D’autres fonctionnalités plus anecdotiques marquent les esprits, comme ce moyen de transformer un téléviseur intelligent Samsung en mouchard avec son programme Weeping Angel. Si il n’y a rien de surprenant en soi - oui, les espions espionnent - la fuite permet de savoir précisément ce que les hackers de la CIA sont capables de faire.
Pour WikiLeaks, ce sont autant de vulnérabilités non publiques qui auraient dû être communiquées aux fabricants pour améliorer la sécurité informatique de tous. Pour la presse américaine, le nombre important de failles utilisées semble montrer en creux l’échec du “Vulnerabilities Equities Process”, cette initiative de la Maison Blanche (ère Obama) censée encadrer la gestion des vulnérabilités découvertes par les agences américaines.
Plus globalement, estiment les journalistes spécialisés sur le renseignement, la fuite est gravissime. Elle est peut-être même d’une ampleur encore plus importante que les révélations Snowden sur la NSA, la “No Such Agency”, la puissante centrale technique américaine.
Bon, maintenant que la fuite a été divulguée, on imagine qu’il y a une intense course poursuite qui s’engage. La source de WikiLeaks a sans doute déjà tout fait pour se mettre à l’abri. Si ce n’est pas le cas, elle va devoir courir très vite.
Pour l’administration américaine, l’enquête a en effet (enfin) commencé. S’agit-il d’un traître, qui devra répondre de la fuite devant un tribunal, ou d’un service de renseignement étranger, qui a voulu glisser une grosse peau de banane sous le pied des agents de la CIA? A ce stade de l’histoire, on n’en sait encore rien.
Mais le bad buzz est si important qu’il pousse la CIA à réagir. Deux journalistes de NBC vont ainsi relayer un communiqué non signé mais attribué à l’agence, qui y évoque son trouble et souligne que l’opération profite à ses adversaires.
C’est la première controverse relative à cette affaire. Comment la CIA a-t-elle pu se transformer ainsi en passoire? Quelques années plus tard, la presse soulignera ainsi que l’agence a aussi été victime d’elle-même.
Des procédures de sécurité “terriblement laxistes” seront ainsi pointées dans un rapport interne de 2020. Les anges gardiens de la CIA auraient-ils dû par exemple remarquer qu’il y avait depuis longtemps de sérieuses failles? Allez voir par exemple ce Github datant de 2013 sur le projet Wizard.
Ça passe inaperçu à l’époque, mais l'un des acronymes mentionnés sur le dépôt, OSB, fait référence en fait à l’Operational Support Branch, le nom de l’unité des hackers de la CIA. Justement l’unité concernée par la fuite de Vault 7.
“Le code en soi ne semble pas particulièrement intéressant”, signale au Daily Beast un ancien du renseignement. “Mais je serais très surpris que la CIA se soit dit, tiens, et si l’année 2013 était le moment idéal pour publier l'un de nos programmes?”
Et est-ce vraiment sérieux dans une unité aussi sensible, d’ignorer les règles basiques de sécurité informatique? Pourquoi les développeurs s'échangeaient-ils leurs mots de passe - parfois de type 123ABCdef - ou des infos sensibles sur post-it ?
Eh bien visiblement pour aller plus vite dans le développement de programmes malveillants, même si c’était au détriment de leur propre sécurité informatique. Alors oui, leur unité était censée répondre à des besoins urgents pour des opérations en cours. Mais c’était jouer avec le feu alors qu’ils étaient justement assis sur une poudrière numérique.
On en reparle la semaine prochaine,
Bonne journée,
Gabriel
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources
WikiLeaks et les « Kissinger Cables » : nouvel assaut contre l’administration US
Vault 7 : Wikileaks met la main sur l’arsenal informatique de la CIA
WikiLeaks révèle un supposé programme de piratage de la CIA
WikiLeaks drops 'Grasshopper' documents, part four of its CIA Vault 7 files
Worried the CIA Hacked Your Samsung TV? Here's How to Tell
Vulnerabilities Equities Process
U.S. identifies suspect in major leak of CIA hacking tools
Exclusive: CIA ‘Leaker’ Josh Schulte Posted Agency Code Online—And CIA Never Noticed