Vault 7: Les outils de hacking de la CIA révélés par WikiLeaks

Source : WikiLeaks, le 07/03/2017

Communiqué de presse

Aujourd’hui, mardi 7 mars 2017, WikiLeaks commence une nouvelle série de fuites sur la Central Intelligence Agency (CIA). Surnommée « Vault 7 » par WikiLeaks, c’est la diffusion la plus importante jamais faite de documents confidentiels sur l’agence.

L’entièreté de la première partie de la série, « Year Zero », comprend 8761 documents et rapports issus d’un réseau isolé, fortement sécurisé, situé au sein du Centre de la CIA pour la Cyber Intelligence de Langley, Virginie. Cela fait suite à une révélation le mois dernier concernant le ciblage par la CIA de partis politiques français et des candidats lors de l’élection présidentielle de 2012.

Récemment, la CIA a perdu le contrôle de la majorité de son arsenal de hacking, comprenant malwares, virus, trojans, exploits offensifs « zero day », systèmes de contrôle à distance des malwares et la documentation associée. Cette extraordinaire collection, qui se concrétise par plusieurs centaines de millions de lignes de codes, procure à son détenteur la pleine capacité de hacking de la CIA. Les archives semblent avoir circulé de façon non autorisée parmi les anciens hackers et prestataires externes du gouvernement américain, l’un d’entre eux ayant fourni à WikiLeaks une partie des archives.

« Year Zero » révèle l’étendue et la stratégie du programme secret et global de hacking de la CIA, son arsenal de malwares et des dizaines d’exploits offensifs « zero day » contre un large éventail de produits de sociétés américaines et européennes, dont l’iPhone d’Apple, le système Android de Google, Windows de Microsoft et les téléviseurs Samsung, qui se transforment en micros cachés.

Depuis 2001, la CIA a supplanté politiquement et financièrement la National Security Agency (NSA). La CIA s’est retrouvée à bâtir seule non seulement sa tristement célèbre flotte de drones, mais aussi à mettre en place une force secrète globale d’un genre très différent – sa propre armée de hackers. Avoir sa propre division de hacking interne permet à la CIA de se passer de la NSA (sa principale rivale bureaucratique) pour ses opérations de hacking, lui évitant ainsi de dévoiler ses opérations souvent controversées.

A la fin 2016, la division de hacking de la CIA, qui dépend officiellement du Centre pour la Cyber Intelligence (CCI) de l’agence, compte plus de 5000 utilisateurs enregistrés et a produit plus d’un millier de systèmes de hacking, trojans, virus et autres malwares. L’activité de la CIA dans ce domaine est telle qu’en 2016 ses hackers avaient utilisé plus de code qu’il n’en faut pour faire fonctionner Facebook. La CIA avait créé de fait sa « propre NSA » avec encore moins de transparence et sans avoir à répondre publiquement sur la pertinence de dépenser un tel budget pour dupliquer les capacités de l’agence rivale.

Dans une déclaration à WikiLeaks, la source détaille les questions de politique dont il faut débattre de façon urgente en public, notamment de savoir si les capacités de hacking de la CIA ne dépassent pas sa mission officielle et le problème de surveillance publique de l’agence. La source espère initier un débat public au sujet de la sécurité, la création, l’utilisation, la prolifération et le contrôle démocratique des cyber-armes.

Une fois qu’une seule cyber-arme a été « libérée », elle peut se répandre dans le monde entier en quelques secondes, et être utilisée par des États rivaux, la mafia ou de jeunes hackers.

Julian Assange, le rédacteur en chef de WikiLeaks, affirme qu’il « y a un risque d’extrême prolifération du développement de cyber-armes. Des comparaisons peuvent être faites entre la prolifération non contrôlée de telles armes, qui résultent de l’incapacité à les contenir combiné à leur forte valeur marchande, et le marché mondial des armes. Mais le message transmis par « Year Zero » va bien au-delà du choix entre cyber-guerre et cyber-paix. La révélation est également exceptionnelle d’un point de vue politique, légal et judiciaire. »

WikiLeaks a soigneusement passé en revue la révélation « Year Zero » et publié une bonne partie de la documentation de la CIA tout en évitant la diffusion de cyber-armes en attendant qu’un consensus émerge sur la nature technique et politique du programme de la CIA et comment de telles « armes » doivent être analysées, neutralisées et publiées.

WikiLeaks a également décidé de censurer et d’anonymiser certaines informations identifiantes de « Year Zero » pour une analyse en profondeur. Ces documents comprennent des dizaines de milliers de cibles de la CIA et des machines d’attaques à travers l’Amérique latine, l’Europe et les États-Unis. Bien que nous soyons conscients des inconvénients propres à chaque méthode de divulgation, nous restons attachés à notre mode de publication et nous notons que la quantité de pages publiées dans la première partie de « Vault 7 » (« Year Zero ») dépasse déjà le total des nombre de pages publiées lors des trois premières années de révélations sur la NSA par Edward Snowden.

Analyse

Les logiciels de la CIA visent l’iPhone, Android et les SmartTV

Les malwares et les outils de hacking de la CIA sont conçus par l’Engineering Development Group (EDG), un groupe de développement de logiciels au sein du Center for Cyber Intelligence (CCI), lui-même un département du Directorate for Digital Innovation (DDI) de la CIA. Le DDI est l’un des cinq directoires principaux de la CIA (regardez l’organigramme de la CIA pour plus de détails).

L’EDG est responsable du développement, des essais et de l’assistance opérationnelle des « accès secrets », exploits, parties malicieuses, trojans, virus et toute forme de logiciel-espion utilisés par la CIA lors de ses opérations secrètes dans le monde.

La sophistication grandissante des techniques de surveillance a entraîné des comparaisons avec l’ouvrage 1984 de George Orwell, mais « Weeping Angel » (ange pleureur), développé par l’Embedded Devices Branch (EDB) de la CIA, qui infecte les téléviseurs connectés, les transformant en microphones cachés, est surement sa réalisation la plus emblématique.

L’attaque contre les téléviseurs connectés Samsung a été développée en coopération avec le MI5/BTSS du Royaume-Uni. Après son inoculation, Weeping Angel met le téléviseur visé en « faux » mode éteint, de telle sorte que le propriétaire pense à tort que sa télé est éteinte quand elle est encore allumée. En « faux » mode éteint, le téléviseur devient un micro, enregistrant les conversations dans la pièce et les transmettant via internet vers un serveur secret de la CIA.

Jusqu’en octobre 2014, la CIA cherchait également à infecter les systèmes de commande utilisés sur les camions et voitures récents. L’objectif d’un tel contrôle n’a pas été précisé, mais il permettrait à la CIA de mener des assassinats quasiment indétectables.

Le Mobile Devices Branch (MDB) de la CIA a mené de nombreuses attaques pour « hacker » et prendre le contrôle à distance de smartphones. Les téléphones infectés peuvent être contrôlés pour envoyer à la CIA la géolocalisation de l’utilisateur, les communications audio et SMS ainsi que pour activer discrètement les modes appareil photo et microphone du téléphone.

Malgré la faible part de marché de l’iPhone (14,5%) sur le marché du smartphone en 2016, une unité spécialisée de la Mobile Development Branch est chargée de la conception de malwares pour infester, contrôler et récupérer des données sur les iPhones et d’autres produits Apple fonctionnant avec iOS, tels que les iPads. L’arsenal de la CIA comprend de nombreux exploits « Zero Day » locaux ou distants, développés par la CIA ou obtenus du GCHQ, de la NSA, du FBI ou acheté à des spécialistes en cyber-armes tels que Baitshop. Le ciblage disproportionné sur iOS peut être expliqué par la popularité de l’iPhone parmi les élites sociales, politiques, diplomatiques et d’affaires.

Une unité similaire s’occupe du système Android de Google qui est utilisé par la majorité des smartphones dans le monde (environ 85%), comprenant les modèles Samsung, HTC et Sony. 1,15 milliards de téléphones sous Android ont été vendus l’an passé. « Year Zero » montre qu’en 2016 la CIA disposait de 24 « Zero Day » visant Android, qu’elle avait elle-même développées ou obtenues du GCHQ, de la NSA et des spécialistes en cyber-armes.

Ces techniques ont permis à la CIA de contourner l’encryptage de WhatsApp, Signal, Telegram, Weibo, Confide et Cloackman en piratant les smartphones qui les utilisent et en collectant les échanges audio et messages avant que le chiffrement ne soit réalisé.

Les virus de la CIA visent Windows, MacOS, Linux et les routeurs

La CIA applique un effort substantiel pour infester et contrôler les utilisateurs de Microsoft Windows avec ses malwares. Cela comprend de multiples « zero days » locaux et distants, des virus capables d’infecter des hôtes non connectés comme « Hammer Drill » qui infectent les logiciels distribués sur CD/DVD, des agents infectieux pour les médias amovibles comme les clés USB, des systèmes pour cacher des données dans des images ou dans des zones cachées des disques durs (« Brutal Kangaroo« ) et pour maintenir les infections actives en toutes circonstances.

Beaucoup de ces d’infections sont exploitées par la branche de la CIA Automated Implant Branch (AIB), qui a développé plusieurs systèmes d’attaque pour une infestation automatisée et de contrôle des malwares de la CIA comme « Assassin » et « Medusa ».

Les attaques contre l’infrastructure d’Internet et les serveurs web sont développées par la Network Devices Branch (NDB) de la CIA.

La CIA a développé des systèmes de contrôle et d’attaque automatisés multi-plateformes couvrant Windows, Mac OS X, Solaris, Linux et autres, comme « Hive » de l’EDB ou encore « Cutthroat » et « Swindle », qui sont décrits dans les exemples dans la section plus bas.

Les vulnérabilités (« zero days ») accumulées par la CIA

A la suite des révélations d’Edward Snowden sur la NSA, l’industrie technologique américaine a obtenu de l’administration Obama qu’elle s’engage pour que le gouvernement révèle de façon régulière (plutôt que de les garder pour lui) les vulnérabilités sévères, les exploits, bugs ou « zero days » à Apple, Google, Microsoft et autres fabricants basés aux USA.

Des vulnérabilités sérieuses non révélées aux fabricants mettent une énorme partie de la population et des infrastructures sensibles à la merci d’attaques de la part de services de renseignement étrangers ou de cyber-criminels qui découvriraient indépendamment, ou entendraient des rumeurs sur ces vulnérabilités. Si la CIA peut découvrir de telles vulnérabilités, d’autres le peuvent aussi.

L’engagement du gouvernement US pour le Vulnerabilities Equities Process vint après un lobbying significatif de la part des compagnies technologiques américaines qui risquent de perdre leurs parts du marché global à cause de vulnérabilités réelles ou perçues comme telles. Le gouvernement fit état de sa volonté de révéler toute vulnérabilité invasive découverte après 2010 de façon régulière.

Les documents « Year Zero » montrent que la CIA a violé les engagements de l’administration Obama. Beaucoup de points vulnérables utilisés par le cyber-arsenal de la CIA sont répandus et certains ont déjà pu déjà être identifiés par des services de renseignement rivaux ou des cyber-criminels.

Comme exemple, un malware spécifique de la CIA, révélé dans « Year Zero », peut pénétrer, infecter et contrôler à la fois les smartphones Android et les systèmes iPhone utilisés par le compte Twitter officiel de la Maison-Blanche. La CIA attaque ces logiciels en utilisant des vulnérabilités de sécurité non révélées (« zero days ») possédées par la CIA. Mais si la CIA peut hacker ces smartphones, de même n’importe qui pouvant obtenir ou découvrir ces vulnérabilités peut le faire. Tant que la CIA garde secrètes ces vulnérabilités d’Apple et de Google (qui fabriquent les téléphones), elles ne seront pas corrigées, et les smartphones resteront vulnérables.

Les mêmes dangers existent pour une grande partie de la population, y compris le Cabinet US, le Congrès, les PDG, les administrateurs systèmes, les agents de sécurité et les ingénieurs. En cachant ces défauts de sécurité aux fabricants comme Apple et Google, la CIA s’assure de pouvoir hacker tout le monde au prix de garder tout le monde piratable.

Les risques sérieux de prolifération des programmes « cyber-guerre »

Il est impossible de garder réellement sous contrôle les « cyber-armes ».

Alors que la prolifération nucléaire a pu être restreinte à cause des coûts énormes et des infrastructures visibles nécessaires pour assembler assez de matière fissile pour produire la masse critique nécessaire à la fission nucléaire, les « cyber-armes », une fois développées, sont très difficiles à contenir.

Les « cyber-armes » ne sont en fait que de simples programmes informatiques qui peuvent être piratés exactement comme les autres. Comme ils sont entièrement composés d’informations, ils peuvent être copiés rapidement sans coût additionnel.

Sécuriser ces armes est particulièrement difficile car les mêmes personnes qui les développent et les utilisent ont les capacités de faire sortir des copies sans laisser de traces – parfois en utilisant les mêmes armes contre les organisations qui les possèdent. Il est motivant pour les hackers du gouvernement et les consultants d’obtenir des copies car il existe un « marché des vulnérabilités » mondial prêt à payer des centaines de milliers de dollars pour des copies de telles « armes ». De même, les sous-traitants et les compagnies qui obtiennent de telles « armes » les utilisent parfois pour leurs propres intérêts, prenant l’avantage sur leurs concurrents en vendant des services de « hacking ».

Durant les trois dernières années, le secteur du renseignement des USA, qui consiste en différentes agences gouvernementales comme la CIA et la NSA et leurs sous-traitants, comme Booz Allan Hamilton, a été victime d’une série sans précédent de fuites de données par ses propres employés.

Un certain nombre des membres de la communauté du renseignement, pas encore nommés publiquement, ont été arrêtés ou soumis à des enquêtes criminelles fédérales pour des incidents distincts.

Plus connu, le 8 février 2017, un grand jury fédéral inculpa Harold T. Martin III de 20 chefs d’accusation de mauvais usage d’information classifiée. Le Département de le Justice déclare avoir saisi quelques 50 000 gigabytes d’information obtenues par Harold T. Martin III durant sa participation à des programmes secrets à la NSA et à la CIA, comprenant le code source pour de nombreux outils de hacking.

Une fois qu’une simple cyber-arme est relâchée, elle peut se répandre dans le monde en quelques secondes, et être utilisée par des États étrangers, la cyber mafia et des jeunes apprentis hackers.

Le consulat américain de Francfort est une base secrète de la CIA

En plus de ses opérations à Langley, Virginie, la CIA utilise aussi le consulat américain de Francfort comme base secrète pour ses hackers qui couvrent l’Europe, le Moyen-Orient et l’Afrique.

Les hackers de la CIA opérant au consulat de Francfort (« Centre de Cyber-renseignement pour l’Europe » ou CCIE) ont reçu des passeports diplomatiques et la couverture du Département d’État. Les instructions pour les nouveaux hackers font apparaître l’inefficacité patente du contre-espionnage allemand : « Passez vite fait à travers les douanes allemandes avec votre histoire de couverture toute prête, et tout ce qu’ils font c’est tamponner votre passeport. »

Votre couverture (pour ce voyage)

Q: Pourquoi êtes-vous ici ?

R: Conseiller technique au Consulat.

Deux publications antérieures de WikiLeaks donnent plus de détails sur l’approche de la CIA aux frontières et les procédures de vérification secondaires.

Une fois à Francfort, les hackers peuvent voyager sans vérification aux frontières dans les 25 pays de l’Union européenne qui font partie de l’espace Schengen – y compris en France en Italie et en Suisse.

Un certain nombre de méthodes d’attaque électronique de la CIA sont conçues pour la proximité physique. Ces méthodes d’attaque peuvent pénétrer des réseaux hautement sécurisés non connectés à internet, comme les bases de données de la police. Dans ces cas, un officier de la CIA, agent ou officier de services de renseignement alliés, agissant sous instructions, infiltre physiquement la place visée. Ensuite l’attaquant infecte et fait sortir les données avec un média amovible. Par exemple, le système d’attaque de la CIA Fine Dining procure 24 applications leurres à l’usage des espions de la CIA. Aux yeux de témoins, l’espion a l’air d’utiliser un programme vidéo (ex: VLC), ou de présentation (Prezi), de jouer (Breakout2, 2048) ou même de lancer un faux scan de virus (Kaspersky, McAfee, Sophos). Mais pendant que la fausse application est sur l’écran, le système est automatiquement infecté et pillé.

Comment la CIA a considérablement accru les risques de prolifération

Dans ce qui est certainement un des plus étonnant projet de renseignement de mémoire d’homme, la CIA a structuré son mode de classification de telle façon que pour la partie de « Vault 7 » la plus précieuse sur le marché – les malwares agressifs de la CIA (implants + zero days), Listening Posts (LP), et les systèmes Command and Control (C2) – l’agence ait très peu de recours légaux.

La CIA n’a pas classé secret ces systèmes.

La raison pour laquelle la CIA a choisi de rendre son cyber-arsenal non classé montre comment des concepts développés pour l’usage militaire ne se transposent pas facilement sur le champ de bataille des « cyber guerres ».

Pour attaquer ses cibles, la CIA a besoin normalement que ses implants communiquent avec les programmes de contrôle ennemis par internet. Si les implants de la CIA, les logiciels Command & Control et Listening Post étaient classifiés, alors les officiers de la CIA pourraient être poursuivis ou renvoyés pour avoir violé les règles qui interdisent de mettre des informations classifiées sur internet. En conséquence, la CIA a secrètement déclassifié la plupart de ses codes cyber-espions/cyber-guerre. Le gouvernement américain ne peut pas non plus leur donner de copyright, du fait des restrictions de la Constitution. Cela signifie que les concepteurs de cyber-armes et les hackers peuvent librement pirater ces armes s’ils les obtiennent. La CIA doit donc essentiellement s’en remettre à la dissimulation pour protéger ses malwares secrets.

Les armes conventionnelles comme les missiles peuvent être tirées sur l’ennemi (ex: dans une zone non sécurisée). La proximité ou l’impact avec la cible fait exploser la charge, y compris ses composants secrets. C’est pourquoi les militaires ne violent pas le secret des règles de classification en tirant avec de l’artillerie classifiée. La charge explosera vraisemblablement. Si ce n’est pas le cas, l’opérateur ne peut pas être tenu responsable.

Durant la dernière décennie, les opérations américaines de hacking se sont parées de plus en plus de jargon militaire pour siphonner le budget du Département de la Défense. Par exemple, les tentatives d’injection des malwares (jargon commercial) ou largage d’implants (jargon de la NSA) deviennent des « tirs » comme si des armes avaient fait feu. Cependant l’analogie est discutable.

Contrairement aux balles, bombes et missiles, la plupart des malwares de la CIA sont destinés à vivre des jours ou même des années après avoir atteint leurs « cibles ». Un malware de la CIA « n’explose pas à l’impact », mais infecte de façon permanente sa cible. Pour infecter la machine cible, des copies du malware doivent être installées dans la machine cible, donnant au malware la possession physique de la machine cible. Pour faire sortir des données vers la CIA ou pour attendre plus d’instructions, le malware doit communiquer avec les systèmes Command & Control (C2) placés sur des serveurs connectés à internet. Mais de tels serveurs ne sont typiquement pas approuvés pour contenir des informations classifiées, alors les systèmes Command & Control sont donc aussi non classifiés.

Une attaque réussie sur le système d’un ordinateur cible s’apparente plus à une série de mouvements boursiers complexes pour une OPA hostile ou une implantation soigneuse de rumeurs pour prendre le contrôle du leadership d’une organisation, plutôt qu’à l’usage d’un système d’artillerie. Si on veut une analogie militaire, l’infection d’une cible est plutôt semblable à l’exécution de toute une série de manœuvres militaires contre le territoire ciblé y compris l’observation, l’infiltration, l’occupation et l’exploitation.

Echapper aux techniques d’investigations et aux anti-virus

Une série de standards définit les modèles d’infection par malware de la CIA qui sont susceptibles de bénéficier aux enquêteurs scientifiques de scènes de crimes aussi bien qu’à Apple, Microsoft, Google, Blackberry, Samsung, Nokia, Siemens et les sociétés d’anti-virus pour déterminer l’origine et se défendre contre les attaques.

« Les FAIRE et NE PAS FAIRE des techniques d’espionnages » contiennent les règles de la CIA sur comment les malwares doivent être écrits en évitant les empreintes impliquant la « CIA, le gouvernement US ou ses sociétés partenaires » lors des « enquêtes scientifiques ». Des standards secrets similaires couvrent l’usage du cryptage pour dissimuler la communication entre le hacker de la CIA et le malware (pdf), décrivant les objectifs et données exfiltrées (pdf) aussi bien que l’exécution des chargements (pdf) et perdurer (pdf) dans la machine cible pour longtemps.

Les hackers de la CIA ont développé des attaques efficaces contre la plupart des programmes anti-virus bien connus. Elles sont documentées dans AV defeats (vaincre les anti-virus), Personal Security Products (produits de sécurité personnelle), Detecting and defeating PSPs (détection et mise en échec de PSP) et PSP/Debugger/RE Avoidance (contrecarrer les détections et décourager la retro-ingénierie). Par exemple, Comodo a été mis en échec par un malware de la CIA qui s’était auto-installé dans la corbeille de bureau de Windows. Alors que Comodo 6.x a un « Gaping Hole of DOOM » (cette version est une « passoire »).

Les hackers de la CIA ont discuté sur les échecs des hackers de « l’Equation Group » de la NSA et comment les développeurs de malwares de la CIA pourraient éviter un tel niveau d’exposition.

Exemples

Le système de gestion du Groupe de développement technologique de la CIA (EDG) contient environ 500 projets différents (seulement certains ont été documentés par « Year Zero »), chacun avec ses propres sous-projets, malwares et outils de hacks.

La majorité de ces projets se rapporte à des outils utilisés pour la pénétration, l’infection (implantation), le contrôle et l’exfiltration.

Une autre branche du développement se concentre sur le développement et l’utilisation des systèmes de Listening Posts (LP) et de Command and Control (C2) utilisés pour communiquer avec et contrôler les implants de la CIA ; des projets spéciaux sont utilisés pour viser des matériels spécifiques de machines allant des routeurs réseaux aux TV connectées.

Des exemples de projets sont décrits ci-dessous, mais regardez la table des matières pour la liste complète des projets décrits par Wikileaks dans « Year Zero ».

UMBRAGE (Offense)

Les techniques de hacking mises au point par la CIA posent un problème à l’agence. Chaque technique créée forme une « empreinte » qui peut être utilisée par des enquêteurs scientifiques pour attribuer des attaques différentes à la même entité.

C’est comme de trouver la même blessure distinctive au couteau sur des victimes différentes. Le style de blessure unique créé la suspicion qu’un seul et même meurtrier est responsable. Dès qu’un meurtre parmi l’ensemble est résolu, alors on peut probablement désigner le même coupable pour tous les autres.

Le groupe UMBRAGE (Offense) de la Remote Devices Branch de la CIA (section des appareils distants), collecte et met à jour une large bibliothèque de techniques d’attaques « volées » à des malwares produits dans d’autres États, y compris le Fédération de Russie.

Avec UMBRAGE et les projets associés, la CIA peut non seulement accroitre son nombre total de types d’attaques mais aussi égarer les attributions en laissant des « empreintes » des autres groupes à qui les techniques d’attaques ont été volées.

Les composants d’UMBRAGE couvrent les keyloggers (qui enregistrent les frappes au clavier), la collection de mots de passe, les captures des webcams, la destruction de données, la persistance, l’élévation des privilèges, l’introduction furtive, l’évitement des systèmes anti-virus et les techniques de surveillance.

Fine Dining (Dîner raffiné)

Fine Dining se présente comme un questionnaire standardisé (comme un menu) que les officiers de la CIA remplissent. Le questionnaire est utilisé par l’OSB de l’agence (Operational Support Branch), pour transformer les requêtes des officiers traitant d’une opération spécifique en exigences techniques pour des attaques (typiquement exfiltration des données informatiques d’un système). Le questionnaire permet à l’OSB d’identifier la façon d’adapter des outils existants pour cette opération et de le communiquer à l’équipe de de configuration des malwares. L’OSB fonctionne comme interface entre le staff opérationnel de la CIA et l’équipe technique de support adéquate.

Parmi la liste des cibles possibles de la collection, on trouve « Source », « Collaborateur de la source », « Administrateurs systèmes », « Opérations d’information étrangères », « Agences de renseignement étrangères » et « Entités gouvernementales étrangères ». On notera l’absence de toute référence à des organisations extrémistes ou criminelles. Il est aussi demandé à l’officier traitant de préciser l’environnement de la cible (type d’ordinateur, système d’exploitation utilisé, type de connexion à internet, logiciels de protection) ainsi que la liste des types de fichiers recherchés (documents Office, fichiers audio, vidéos, images ou autres). Le menu demande aussi si une connexion répétée au système cible est possible et pendant combien de temps l’accès peut être maintenu sans se faire repérer. Ces informations sont utilisées par le logiciel « JQJIMPROVISE » de la CIA (voir ci-dessous) pour configurer un lot de malwares adaptés aux besoins d’une opération.

Improvise (JQJIMPROVISE)

« Improvise » est un ensemble d’outils pour la configuration, le post-traitement, installation de la charge et la sélection des vecteurs d’exécution pour les outils de surveillance et d’exfiltration supportant tous les systèmes d’exploitation principaux comme Windows (Bartender), MacOS (JukeBox) et Linux (DanceFloor). Ses utilitaires de configuration comme « Margarita » permettent au NOC (Network Operation Center) de modifier les outils en fonction des exigences issues des questionnaires « Fine Dining ».

HIVE (Ruche)

HIVE est une série de malwares multiplateforme de la CIA et son logiciel de contrôle associé. Le projet procure des implants personnalisables pour Windows, Solaris, MikoTik (utilisé par les routeurs internet) et les plateformes Linux, et l’infrastructure Listening Post (LP)/Command and Control (C2) pour communiquer avec ces implants.

Les implants sont configurés pour communiquer via HTTPS avec le serveur web du domaine de couverture ; chaque opération utilisant ces implants a un domaine de couverture séparé et l’infrastructure peut supporter n’importe quel nombre de domaines de couverture.

Chaque domaine de couverture révèle une adresse IP située chez un fournisseur de VPS (Virtual Private Server) (Serveur virtuel privé) commercial. L’interface publique du serveur renvoie tout trafic entrant via VPN (Virtual Private Network) à un serveur « Blot » qui gère les requêtes de connexion des clients. Il est configuré pour une authentification SSL optionnelle : si un client envoie un certificat client valide (seuls les implants CIA en sont capables), la connexion est renvoyée au serveur « Honeycomb » (nid d’abeille) qui communique avec l’implant ; Si un certificat valide manque (ce qui arrive quand quelqu’un essaye d’ouvrir le site du domaine de couverture par accident), le trafic est renvoyé vers un serveur de couverture qui donne un site web au look insoupçonnable.

Le serveur Honeycomb reçoit les données exfiltrées depuis l’implant ; un opérateur peut aussi commander à l’implant d’exécuter certaines tâches sur l’ordinateur cible, le serveur jouant ainsi le rôle de C2 (command and control) pour l’implant.

Une fonctionnalité semblable est fournie par le projet « RickBobby » (bien que limité à Windows).

Voir le guide classifié pour utilisateurs et développeurs de HIVE.

FAQ (Questions fréquemment posées)

Pourquoi maintenant ?

WikiLeaks a publié dès que les vérifications et analyses furent prêtes.

En février, l’administration Trump a sorti un décret présidentiel appelant à une révision de la « Cyber-guerre » sous 30 jours.

Alors que cette révision augmente l’opportunité et la pertinence de la publication, elle n’a aucun rôle dans la décision de la date de publication.

Censures

Les noms, emails, et IP externes ont été censurés dans les pages publiées (70 875 censures au total) jusqu’à une analyse complète.

1. Sur-censure : certains éléments censurés ne sont pas des employés, sous-traitants, cibles ou autres liés à l’agence, mais sont, par exemple, des auteurs de documentation de projets publics extérieurs utilisés par l’Agence.
2. Identité vs. personne : les noms censurés sont remplacés par des identifiants numériques pour permettre aux lecteurs d’assigner des pages multiples à un seul auteur. Considérant le processus de censure, il est possible qu’une seule personne puisse être associée à plusieurs identifiants différents. Mais il est impossible qu’un identifiant donné puisse se référer à de multiples noms.
3. Les archives jointes (zip, tar.gz, …) sont remplacées par un PDF listant tous les noms de fichiers de l’archive. Quand le contenu des archives a été vérifié, il pourra être disponible ; d’ici là, l’archive est censurée.
4. Les pièces jointes avec des contenus binaires sont remplacées par des copies brutes en format hexadécimal pour empêcher toute activation accidentelle de binaires qui pourrait avoir été infectés avec un malware de la CIA. Lorsque le contenu des fichiers aura été vérifié il sera éventuellement mis à disposition ; d’ici là il est censuré.
5. Des dizaines de milliers d’adresses IP routables (y compris plus de 22 000 seulement aux États-Unis) qui correspondent à de possibles cibles, des sites de couverture et d’écoute de la CIA, intermédiaires et systèmes tests, sont censurés pour plus d’investigations exclusives.
6. Des fichiers binaires d’origine non-publique sont seulement disponibles en tant que copie brute pour prévenir une activation accidentelle de codes binaires infectés par les malware de la CIA.

Organigramme

L’organigramme correspond au matériel publié par WikiLeaks jusqu’à maintenant.

Sachant que la structure d’organisation de la CIA en-dessous du conseil d’administration n’est pas publique, la place de l’EDG et ses sections dans l’organigramme de l’agence est reconstruite d’après les informations contenues dans les documents publiés jusqu’à maintenant. Le but est de l’utiliser comme ébauche de l’organisation interne ; S’il vous plaît notez bien que l’organigramme recomposé est incomplet et les réorganisations internes sont fréquentes.

Pages wiki

« Year Zero » contient 7818 pages web avec 943 pièces jointes venant du progiciel de développement interne. Le logiciel utilisé pour ce but est appelé Confluence, un logiciel propriétaire de Atlassian. Les pages web dans ce système (comme sur Wikipedia) ont un historique des versions qui permet une vision intéressante sur comment un document évolue dans le temps ; les 7818 documents incluent les historiques des 1136 versions les plus récentes.

L’ordre des pages nommées dans chaque niveau est déterminé par date (le plus ancien en premier). Le contenu de la page n’est pas présent s’il n’a pas été d’abord créé dynamiquement pas Confluence (comme indiqué sur la page reconstruite).

Quelle période est couverte ?

Les années 2013 à 2016. L’ordre de rangement des pages dans chaque niveau est déterminé par date (le plus ancien en premier).

WikiLeaks a obtenu la date de création et de dernière modification de la CIA pour chaque page mais cela n’apparaît pas pour des raisons techniques. Généralement la date peut être déterminée ou évaluée grâce au contenu et l’ordre des pages. Si c’est très important de connaître la date exacte, contactez WikiLeaks.

Qu’est-ce que « Vault 7 » ?

« Vault 7 » est une collection substantielle de matériel sur les activités de la CIA obtenue par WikiLeaks.

Quand est-ce que chaque partie de « Vault 7 » a été obtenue ?

La partie 1 a été obtenue récemment et couvre tout 2016. Les détails sur les autres parties seront disponibles à la publication.

Est-ce que chaque partie de « Vault 7 » vient de sources différentes ?

Les détails sur les autres parties seront disponibles à la publication.

Quelle est la taille totale de « Vault 7 » ?

La série est la plus grande publication de renseignements de notre histoire.

Comment Wikileaks a obtenu chaque partie de « Vault 7 » ?

Les sources font confiance à WikiLeaks pour ne pas révéler cette information qui pourrait aider à les identifier.

Est-ce que Wikileaks se soucie de ce que la CIA pourrait faire à l’encontre de ses employés pour stopper la série ?

Non. Ce serait certainement contre-productif.

Est-ce que WikiLeaks a déjà trouvé toutes les meilleures histoires ?

Non. WikiLeaks, intentionnellement, n’écrit pas les centaines d’histoires percutantes de façon à encourager ceux qui les trouveront et créeront ainsi une expertise dans ce domaine, pour des révélations futures de la série. Les histoires sont là. Cherchez bien. Ceux qui montreront une compétence journalistique excellente seront considérés pour un accès anticipé aux futures parties.

Est-ce que d’autres journalistes trouveront les meilleures histoires avant moi ?

C’est peu probable. Il y a considérablement plus d’histoires qu’il n’y a de journalistes ou universitaires en position d’écrire à leur sujet.

Source : WikiLeaks, le 07/03/2017

Traduit par les lecteurs du site www.les-crises.fr. Traduction librement reproductible en intégralité, en citant la source.