Vault 7 : Les outils de piratage de la CIA révélés

WikiLeaks est une organisation non gouvernementale, dont l’objectif est de publier des documents ainsi que des analyses politiques et sociales en offrant une audience aux lanceurs d’alertes, tout en protégeant leurs sources.

Le mardi 7 mars 2017, WikiLeaks a publié une nouvelle série de fuites de données concernant la CIA, sous le nom de code « Vault 7 ». C’est à ce jour la plus grande fuite de documents confidentiels concernant cette agence américaine. Pour le moment, les premières informations révélées sont principalement de la documentation couvrant la période de 2013 à 2016.

Cette première publication nommée « Year Zero » comprend 8 761 documents et fichiers provenant du CCI (Center for Cyber Intelligence) de la CIA, situé à Langley en Virginie. Celle-ci fait suite à une divulgation, le mois dernier, révélant des suspicions d’espionnage des partis politiques et des candidats français lors de l’élection présidentielle en 2012.

Parmi les données, Wikileaks a découvert un arsenal d’outils de piratage comprenant des malwares, chevaux de Troie et autres codes d’exploitation « 0day », ainsi que la documentation associée. Cette collection équivaut à plusieurs centaines de millions de lignes de code.

L’ensemble des données semble avoir été distribué à d’anciens pirates engagés par la CIA de manière non autorisée. L’un d’eux a fourni une partie de l’archive à WikiLeaks. L’auteur souhaite lancer un débat public sur la sécurité, la création, l’utilisation, la prolifération et le contrôle démocratique des cyber-armes.

« Year Zero » montre l’étendue du programme « Global Covert Hacking » de la CIA, ainsi que la direction donnée par ses responsables : un arsenal de logiciels malveillants, ainsi que des dizaines de codes d’exploitation « 0day » ciblant une large gamme de produits les plus courants. Sont ainsi ciblés :

• les systèmes d’exploitation (tels que Windows, MacOS, Linux)
• les smartphones (quel que soit leur système d’exploitation)
• les systèmes embarqués
• les routeurs
• les smart TV (qui peuvent être transformées en microphones, sans que l’utilisateur ne s’en rende compte)

Plusieurs exemples des capacités dont s’est doté le programme peuvent être identifiés parmi les informations disponibles.

• Une attaque baptisée « Weeping Angel » permet de faire croire à l’utilisateur que sa télévision est éteinte, alors qu’elle enregistre tous les sons aux alentours et les transmet ensuite via internet.

• Le programme « Hammer Drill » permet d’infecter des fichiers distribués via CD/DVD pour franchir les fameux Air Gap (lorsqu’un ordinateur ou un routeur n’est pas connecté à un réseau accessible depuis l’extérieur, voire totalement hors réseau).
  • Pour cela, la CIA place le malware sur un DVD vu comme étant vierge et au moment de la gravure, ce malware prend soin d’infecter les fichiers gravés.

• La CIA a aussi mis au point un malware baptisé « Rain Maker » qui ressemble à un fichier multimédia (comme un film ou un MP3) et qui exploite une version modifiée de VLC afin de collecter de manière invisible les données présentes sur la machine en les stockant sur une clé USB.

Wikileaks n’a pas manqué de rappeler que lorsqu’une cyber-arme est perdue, elle peut être propagée dans le monde en quelques secondes et peut être utilisée par n’importe qui : des états rivaux, des cybercriminels, etc. C’est la raison pour laquelle l’organisation a censuré les codes sources contenant les vulnérabilités utilisées par la CIA de sa publication.

Les malwares et outils de piratage informatique de la CIA sont développés par l’EDG (Engineering Development Group), une unité en charge du développement de logiciels au sein du CCI, qui est lui même un département de la DDI (Directorate for Digital Innovation).

À l’intérieur de celle-ci, on retrouve certaines branches aux différentes fonctions comme :

• La branche EDG est responsable du développement, du test et du support opérationnel de toutes les portes dérobées, codes d’exploitation, payloads, chevaux de Troie, malwares, utilisés par la CIA dans ses opérations dans le monde entier.

• La branche NDB (Network Devices Branch) développe des attaques contre les infrastructures et serveurs web.

• La branche MDB (Mobile Devices Branch) quant à elle a développé de nombreuses attaques pour pirater et contrôler à distance les smartphones les plus populaires. Les téléphones infectés peuvent être chargés d’envoyer à la CIA la géolocalisation de l’utilisateur, les communications audio et textuelles, ainsi que d’activer secrètement la caméra et le microphone du téléphone.
  • WikiLeaks note qu’une unité de la MDB est chargée de développer des malwares pour les produits d’Apple et qu’une autre est chargée de cibler les équipements basés sur Android.