Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

#Vault7 – Le fiasco de la CIA

Hier, Wikileaks a publié environ 8700 documents datés entre 2013 et 2016, qui selon leurs dires, viennent du Centre de Cyber Intelligence de la CIA. En gros, le service qui s’occupe de l’espionnage cyber chez nos amis américains. Ce service a la particularité d’être sur un réseau haute sécurité totalement isolé à Langley en Virginie et dispose aussi d’une antenne en Europe dans la jolie ville de Francfort en Allemagne (dans le consulat US).

 

 

Et le contenu rassemblé sous le hashtag #Vault7 n’est pas triste. Premièrement, on y trouve pas mal d’exploits Android qui ont été développés par la CIA, la NSA, le GCHQ (la NSA anglaise) et des vendeurs privés, sur la base de failles non connues (0days).

Ces attaques visant les smartphones permettent à la CIA de contourner le chiffrement de WhatsApp, Signal, Telegram et d’autres, leur permettant de collecter les messages textes et audio en clair.

La CIA utilise aussi des malwares et des outils de hack pour cibler les iPhone, les télévisions (smart TV), mais aussi une boite à outils baptisée Hive permettant de cibler les routeurs et les OS comme Linux, macOS et Windows.

Par exemple, concernant les télévisions, l’une de ces attaques nommée « Weeping Angel » permet de faire croire à la cible que sa TV est éteinte, alors qu’elle enregistre toutes les conversations dans la pièce et balance tout ça à la CIA via Internet.

Autre exemple, le programme « Hammer Drill » qui permet d’infecter des fichiers distribués via CD/DVD pour franchir les fameux Air Gap (lorsqu’un ordinateur ou un routeur n’est pas connecté à un réseau accessible depuis l’extérieur, voire totalement hors réseau). Pour cela, la CIA place le malware sur un DVD vu comme vierge par le logiciel Nero et au moment de la gravure, ce malware prend soin d’infecter les fichiers gravés.

La CIA a aussi mis au point un malware baptisé « Rain Maker » qui ressemble à un film ou un MP3 et qui exploite une version modifiée de VLC (lire le CP de VLC à ce sujet) afin de collecter de manière invisible les données présentes sur la machine en les stockant sur des fichiers invisibles sur une clé USB.

Dans un document daté de 2014, la CIA a même cherché à infecter à distance le système embarqué de certains véhicules. Flipppppaaaaant.

Pour le moment, il s’agit d’un premier jet nommé « Year Zero« , et la suite devrait bientôt arriver. Selon Wikileaks, 500 programmes de la CIA ont fuité… Je pense que ça va être aussi passionnant qu’au moment des révélations de Snowden et faire prendre conscience aux gens et aux sociétés qu’on ne plaisante pas avec la sécurité (y compris celle des objets connectés).

Ce qu’il faut surtout retenir de tout ça c’est que :

  • La CIA a perdu le contrôle d’une grande partie de ses outils de hack (malware, 0days, exploits…etc.)
  • Cette archive en plus d’avoir été donnée a Wikileaks, est aussi dans les mains d’anciens employés gouvernementaux et de sous-traitants
  • La CIA achète des failles 0day et des exploits à des sociétés privées, voire sur le maché noir.
  • La CIA en plus de disposer d’un tas d’outils visant Windows, Linux, macOS, iOS, Android, tout un tas de routeurs et d’objets connectés comme les TV Samsung, sait aussi déjouer la plupart des antivirus du marché.
  • La CIA collecte les signatures des attaques de pays étrangers comme la Russie pour maquiller l’origine de ses propres attaques.
  • Certe, la CIA peut contourner le chiffrement de la plupart des applications de communication type WhatsApp, Signal, Telegram, Wiebo, Confide et Cloackman. Mais cela ne veut pas dire que le chiffrement de ces applications est cassé. Non, cela veut dire qu’en infectant un smartphone Android, il est possible d’intercepter les messages. Mais ça, c’est pareil avec tout… À partir du moment ou quelqu’un a la main sur votre machine avec un malware, peu importe le chiffrement que vous mettrez en place, il aura accès à vos données. Donc pas de panique, cela reste des attaques ciblées.

La CIA se comporte de manière totalement irresponsable en stockant des 0days et des exploits sans plus de contrôle. Il y aurait potentiellement 5000 accrédités CIA en contact avec un ou plusieurs de ces outils. Je comprends la finalité qui est d’espionner, mais à partir d’un certain point, quand une faille est suffisamment menaçante, il ne faut pas attendre qu’un pays ennemi (ou pas) des États-Unis la découvre et l’exploite pour son profit. C’est totalement idiot de croire qu’on est les seuls à découvrir telle ou telle faille. Fatalement un jour, elle est redécouverte par d’autres personnes.

Donc dans l’intérêt de la sécurité de tout le monde, y compris dans l’intérêt de la sécurité des États-Unis, la CIA aurait dû communiquer ces failles aux éditeurs et constructeurs, à minima américains (si on se place dans une perspective « America First » chère à Trump), pour que ces derniers corrigent et tirent la sécurité globale vers le haut.

J’invite les sociétés visées dans ces documents et celles qui s’inquiètent de leurs failles potentielles (y compris sur de l’IoT) à se rapprocher de leurs boites de sécu préférées pour lancer des audits sérieux puis à basculer en mode Bug Bounty privé puis public, via Bountyfactory.io (qui, je le rappelle n’est pas hébergé aux États-Unis, donc hors Patriot Act et compagnie).

Vous pouvez consulter le communiqué de presse ou télécharger les fichiers en torrent (pass: SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds)



Réponses notables

  1. Très bon article. Par contre vous indiquez que la CIA a la capacité de contourner le chiffrement de WhatsApp ou autres. En réalité, ce n’est pas exact, du moins, ce n’est pas ce que j’en comprends. Ils ont la capacité d’avoir un accès distants sur les mobiles, et depuis cet accès ils sont capable d’intercepter les communications. La sécurité des Apps n’est pas remises en cause. Je pense que la nuance est importante.

    Keep up the good work !
    Thibaut

  2. Hello
    Fallait lire mon article en entier, ça vous aurait fait économiser du temps :slight_smile:

    (Je le dis un peu plus bas en fait)

  3. Ne soyez pas naïfs, il s’agit d’une tentative de déstabilisation de Donald Trump, mais tout cela a été mis en place par l’administration Obama. Les agences de renseignement répondent à une administration, elles ne se mettent pas à développer sans avoir reçu d’ordres (privés ou publics). L’ami Barack sera-t-il mis en cause? I don’t think so! Je ne crois pas!

  4. Boh ! …

    Très intéressant mais rien de nouveau en fait. En matière d’espionnage, le champ des possibles reste illimité. Un truc m’interpelle quand même : l’infection d’un CD ou DVD vierge. Je ne vois pas trop comment faire techniquement sans s’appuyer sur le soft de gravage. Çà impose d’infecter ce soft ou de l’adapter, donc une certaine complicité avec l’éditeur, sinon le job est à refaire à chaque nouvelle version du produit.
    Faut que je me renseigne là. :confused:

  5. Je me demande si les présidents aux US pilotent encore la CIA ?

  6. Login says:

    oui, il y aura des MAJ, c’est certain. De plus, Wikileak va révéler les 0days dans le but de “désarmer” ces outils (en permettant la correction par les éditeurs des 0days). Le sujet Android est beaucoup plus vaste car la mise à jour de cet OS très compliquée en raison de la multitude de fabricants (ce qui n’est pas la cas avec iOS).

  7. La CIA se comporte de manière totalement irresponsable en stockant des 0days et des exploits sans plus de contrôle

    C’est plus compliqué Il n’avait vraiment le choix. Si il classifiait les documents il risquait eux même juridiquement donc autant faire cela de manière cachée.

    Ok je veux bien tu fais ta pub perso, je comprends mais cela ne va servir à rien. Le bugbounty n’est pas sur Android… et la majorité des logiciels visé par la CIA / NASA se situe au plus bas level ou personne n’applique de sécurité.

  8. Ils utilisent des failles dans Nero

Continuer la discussion sur Korben Communauté

5 commentaires supplémentaires dans les réponses

Participants

Vérifiez la sécurité de votre compte Gmail

Je ne recommande à personne d’utiliser une boite mail Gmail pour tout un tas de raisons liées à l’exploitation des données personnelles, au patriot act, en passant par la lecture automatisée des emails…etc.

Toutefois si vous avez encore un compte Gmail, qui plus est, ancien mais encore en activité, il serait peut-être bien de vérifier la qualité de sa sécurité. …

Lire la suite



Comment bloquer Red Shell, le spyware des gamers

Si vous suivez un peu l’actualité du jeu vidéo, vous n’avez surement pas manqué la polémique Red Shell. Cet outil mis sur le marché en 2017 par la société Innervate est très utilisé par les éditeurs de jeux pour mesurer la quantité de nouvelles installations de leurs jeux générés par une pub Facebook, YouTube ou Twitter.

Lire la suite



Mettre en place un backup de Github

C’est cool de faire confiance à des sites pour conserver nos données, mais il peut arriver à un moment que celles-ci disparaissent. Soit parce que vous ne respectez plus les CGU du site, soit parce que le site a subi une panne vraiment importante et que leur processus de sauvegarde a été négligé, soit parce que vous avez vous-même supprimé vos données par erreur tel un gros boulet (ça arrive souvent aussi, même aux meilleurs).

Lire la suite