Coup de pub ou véritable cri d’alerte ? Wikileaks publie environ 8700 documents révélant l’existence d’outils, de développements en cours durant les années 2014-2015, de liste de systèmes d’exploitations et applications « ciblées » pour y implanter chevaux de Troie et spywares… mais aucun code, aucun nom, aucune adresse IP ne sont contenus dans cette montagne de fichiers. Le travail de vérification et de recoupement des sources est donc difficile, voire impossible.
Si ce déluge de pages html ne contient pas de véritable révélation technique tangible, il confirme pourtant bien des choses que les professionnels de la sécurité savaient de manière intuitive ou logique.
Oui, la CIA peut « contourner » (et non casser) les principaux outils de messagerie instantanée chiffrés, en profitant des failles de sécurité des systèmes hôtes (IOS, Windows, Android, Linux… )
Oui, les développeurs et reversers qui travaillent pour le compte de la CIA s’intéressent de très près à l’Internet des Objets et cherchent à exploiter les failles (nombreuses) des systèmes embarqués. Et Non, tous les téléviseurs ne sont pas « rootés » avec Weeping Angel… tout au plus un modèle particulier du constructeur Samsung, avec une série de firmware très précis, a fait l’objet de tentatives de développement d’espioniciel pouvant laisser espérer une écoute des conversations tenues dans la pièce où est installé l’appareil. Cela fait beaucoup trop de « si » pour transformer un PoC en arme générique facile à déployer.
Oui, cet intérêt porté aux objets connectés s’étend au secteur automobile. La prise de contrôle à distance d’une pédale d’accélération et d’une direction assistée coûte moins cher et se montre plus discret qu’une arme à feu.
Oui encore, il apparaît clairement qu’il existe un arsenal de procédés de camouflage de code et d’exploits proprement rangés, visant par exemple les noyaux embarqués des téléphones mobiles, les systèmes d’exploitation station et serveurs les plus vendus, à commencer par Windows, et que bon nombre de ces exploits ne sont pas nécessairement « made in CIA ». Car…
…Oui, Il existe une sorte de marché de la vulnérabilité exploitable sur lequel la NSA, la CIA, le CGHQ Britannique font leurs emplettes et s’échangent parfois les fruits les plus intéressants. Certaines de ces failles, suggère le document, doivent être classifiées afin que l’éditeur ou le constructeur, tenu dans l’ignorance de ce défaut, ne cherche pas à le corriger. Et si de surcroît la faille affecte un appareil ou un logiciel largement diffusé à l’étranger, ce n’en sera que mieux et facilitera la surveillance d’acteurs politiques, du monde de la presse ou de l’industrie. Parfois même, d’anciens spywares publics, tels que les productions de l’entreprise Italienne Hacking Team , peuvent servir de source d’inspiration.
Indispensable complément à cet arsenal, les vecteurs d’attaque et d’espionnage que développe la CIA intègrent des méthodes d’évasion ou de camouflage ciblant la majorité des antivirus et firewall.
Mais tout ça reste très en deçà du niveau des révélations Snowden, lesquelles s’attachaient moins aux détails des outils employés qu’aux grandes lignes stratégiques de la NSA, à ses capacités d’infiltration des opérateurs télécom, à ses accords secrets passés avec les Gafa notamment. Wikileaks n’offre, pour l’heure, qu’un instantané des moyens mis en œuvre par les services de renseignements extérieurs des USA. Des moyens intéressants, mais qui ne permettent pas de mesurer l’activité réelle de la CIA, pas plus que l’étude du canon Gribeauval ne peut expliquer l’ensemble des campagnes Napoléoniennes.
La bonne nouvelle, c’est que le sensationnalisme qui a entouré cette publication sauvage va pousser les Samsung, Apple, Microsoft, Google et quelques autres à « pousser » quelques correctifs et auditer leurs systèmes embarqués avec un peu plus d’attention.