Bombe médiatique, la série de révélations diffusée par Wikileaks l’est, sans l’ombre d’un doute. Mais une bombe qui n’explose pas nécessairement là où la presse généraliste l’affirme. Des téléviseurs connectés indiscrets ? Des techniques d’évasion contre les antivirus ? Des failles exploitées dans les noyaux embarqués des routeurs et téléphones portables ? Le fait même qu’une agence de renseignement cherche à militariser des exploits ? Tout ça n’a strictement aucun caractère de nouveauté pour qui fréquente de temps en temps les conférences sécurité. D’autant moins qu’aucun des cyber-flingues décrits ne peuvent servir dans des opérations de surveillance de masse. Ce sont là des « spear-malwares », des programmes destinés à cibler une cible unique et précise. Dégâts collatéraux mineurs et peu inquiétants, donc.
Ce qui, en revanche, dérange un peu plus la communauté Infosec, ce sont des détails qui échapperaient un peu plus au grand public. A commencer par la date de publication de ces informations, et les assertions de Wikileaks.
La date de publication tout d’abord, peu de temps après le basculement de la Maison Blanche dans le camp Républicain. Wikileaks, qui, durant toute la campagne électorale, n’a cessé de divulguer des documents à charge contre le parti Démocrate, n’a jamais tenu sa promesse « d’en faire autant pour la partie adverse ». Avec, pour première conséquence, une perte de crédibilité d’autant plus importante que bon nombre des positions émises par Wikileaks étaient reprises en écho par Sputnik, organe de propagande piloté par le Kremlin. Cette nouvelle série de révélations pourrait éventuellement constituer une tentative de reconquête de l’opinion, en replaçant Wikileaks dans son rôle de lanceur d’alerte et d’opposant aux pratiques de basse police. Mais cette collection de « non révélations techniques » d’une fraîcheur douteuse sent trop le renfermé. Trop peu d’informations, datant d’il y a trop longtemps.
Autre fait troublant, la série de documents « fuités » ferait partie d’un ensemble de fichiers qui seraient passés de mains en mains entre différents hackers travaillant pour le compte de l’Agence ( The archive appears to have been circulated among former U.S. government hackers and contractors in an unauthorized manner). Durant plus d’un an ou deux ? Sans que la CIA ne parvienne à l’apprendre ? Voilà qui semble assez improbable. Un codeur s’attarde peu à collectionner des exploits vieux de deux ans pour la plupart, surtout s’il travaille réellement pour le gouvernement et possède les autorisations nécessaires d’accès aux ressources en question. Ce qui pose la question de l’origine de la source d’information. Laquelle source joue sans l’ombre d’un doute aux échecs avec (ou contre) les services de renseignements US. La « fuite CIA » est une pièce que l’on avance semblant dire « un pion peut en cacher un autre ». Mais on est loin du gambit. Un joueur plus averti aurait placé des pièces menaçantes, plus récentes, prouvant à quel point il est capable d’infiltrer les ordinateurs stratégiques des Etats Unis.
Le contenu publié interroge également. Aucune identité révélée (les précédentes divulgations de Wikileaks prenaient moins de pincettes lorsqu’il s’agissait de violer la correspondance privée de personnalités politiques) et surtout aucun code véritablement actif, ni charge utile, ni dropper, ni programme de contournement. « Il seront, peut-être, publiés plus tard ». L’on peut arguer du fait que l’ouverture des vannes à spywares estampillés CIA aurait les conséquences dramatiques que l’on peut imaginer, et qu’une institution telle que Wikileaks se sentait responsable de la sécurité des usagers. Mais une ou deux preuves concrètes n’auraient pas été de trop. D’ailleurs, si Wikileaks possède cette panoplie d’armes numériques, pour quelle raison cette organisation n’a-t-elle pas déjà entamé une campagne d’information à destination des éditeurs et équipementiers mentionnés dans les quelques 8700 documents ? Là est la véritable responsabilité. Et puis, compte tenu du nombre de victimes potentielles et de la publicité faite autour de ces révélations, les éditeurs auraient profité de l’aubaine pour clamer bien haut leur volonté de corriger et renforcer leurs productions « grâce à Wikileaks ». A commencer par les éditeurs d’antivirus, toujours prompts à sortir des torrents de communiqués de presse. Pourquoi manquer à ce point une occasion de jouer les cyber-garants des libertés et de la sécurité ?
Du côté de la communauté des chercheurs en sécurité, la révélation de l’existence d’une cyber-armada d’exploits battant pavillon CIA soulève un cas de conscience. Alors que commencent à se développer de plus en plus les initiatives « bug bounty », que les éditeurs et chasseurs de failles parviennent à trouver un terrain d’entente, voilà que ressurgit le spectre de la militarisation des failles exploitables, la certitude de l’existence d’un marché occulte du « PoC à barbouzes ». A tel point que certaines voix plaident pour un retour au « full disclosure », ou militantisme de la transparence immédiate et totale, présenté comme la seule parade possible.