Vault 7, une montagne qui accouche d'une souris ? C'est un peu ce que semblent dire certains experts en sécurité informatique à propos des révélations de Wikileaks sur la CIA. Nous avons compilé ces critiques pour les mettre en rapport avec les données que nous avons.

Notre premier réflexe quand un sujet ayant trait à de l’informatique émerge, c’est d’aller voir l’équipe technique d’Humanoid pour profiter de leur expérience. Hier, Baptiste Michaud, CTO de l’entreprise, a épluché pendant plusieurs heures les outils et les guidelines évoquées dans les documents dévoilés par Wikileaks, au doux nom de code « Vault 7 Year 0 ». Et pour lui, qui nous a regardé avec une moue déçue non dissimulée, derrière les annonces fracassantes de Wikileaks se cachent, pour l’instant, des logiciels et des procédés connus et communs — ce qui n’enlève en rien les nombreux problèmes qu’ils soulèvent, notamment du côté des failles de sécurité.

Les bonnes pratiques sont des poncifs, les clefs de licence pour Sublime Text dans un fichier texte font sourire, le document sur la télévision de Samsung ressemble à un exercice pratique pour entraîner un agent. Parlera-t-on de la liste complète des emojis utilisés par les espions les mieux entraînés de ce monde ? Tous ces documents, qui enrobent les révélations réelles, permettent tout autant de légitimer l’archive publiée que de montrer qu’elle correspond, peut-être, à un niveau d’accès plutôt bas.

Pour notre ingénieur en chef, peu d’outils et de recommandations se trouvent hors de portée de l’équipes d’ingénieurs qu’il encadre — et qui ne sont pas des cyberespions entraînés par la puissance la plus avancée du monde sur ces sujets.

La CIA, des débutants ?

Et si l’authenticité des documents ne fait plus trop de doute, notre CTO n’est pas le seul à pointer du doigt la sur-évaluation de la technicité des documents de Wikileaks. Sur Reddit, un internaute qui se dit chercheur en sécurité informatique lance que si l’on s’en tient à ce qui a déjà été rendu public par Wikileaks, «  la CIA ressemble à une bande débutants ». Le chercheur estime par exemple que la plupart des outils mentionnés par la CIA sont des dérivés d’outils publics, connus et maîtrisés et non pas d’outils ad-hoc développés en interne par l’organisation (ce qui, en soit, est une information intéressante). Les outils les plus pointus que la CIA semble posséder, dit-il, «  viennent de l’extérieur, c’est-à-dire qu’ils ont été achetés ».

Pire, il estime que certains processus mis en place par l’agence sont inconscients ou complètement absurdes. Ainsi, il remarque que plusieurs fonctionnalités sont protégées par des combinaisons admin/12345 en guise d’utilisateur et de mot de passe. L’ingénieur estime qu’il s’agit de ressources internes non connectées à Internet, mais se surprend tout de même que la CIA utilise des mots de passe aussi triviaux, même pour des usages non critiques. Il évoque également, dans le même ordre d’idée, la manière de chiffrer les uploads de l’agence vers leurs serveurs : un script ajoute 20 à chaque décimale en guise de chiffrement. Avant d’ajouter : « Ne pas passer 5 minutes à mettre en place un chiffrement AES de bout en bout n’a aucun sens ».

central agency

Une autre source, ingénieur en sécurité informatique, qui préfère garder l’anonymat, nous a confirmé ces affirmations, estimant que tout ce qui était cité était effectivement très simple à faire. Mieux encore, les soupçons de l’ingénieur de Reddit sur le partenariat CIA / Samsung pourraient, toujours selon notre source, avoir une résolution bien plus simple : au lieu d’avoir un accès au code source des firmwares des téléviseurs, la CIA pourrait, selon lui, tout simplement remplacer les certificats. S’ils ne sont pas validés ou mal validés, alors ils peuvent être usurpés, laissant à un attaquant le champ libre pour utiliser les micros ou le flux du téléviseur.

De son côté, Robert Graham, CEO de Errata Security et lui-même chercheur en sécurité informatique estime que ce que contient la première archive publiée par Wikileaks est décevant. « Ce que Wikileaks ne vous dit pas, lance-t-il, c’est que tout ce qui est présent dans leur fichier est ordinaire, connu et maîtrisé par la communauté des expertes en sécurité et en hacking  ».

En d’autres termes, Robert Graham affirme que le Year Zero de Vault 7 est loin d’être aussi spectaculaire que ce que Wikileaks le prétend. Moqueur et habitué des provocations, Graham rappelle que l’une des super cyber armes de la CIA est une technique qu’il a employée en 2007 avec l’un de ses collègues : envoyer un iPhone allumé et faisant tourner des logiciels contrôlés à distance dans une enveloppe à une entreprise ou un service gouvernemental, à une personne qui n’existe pas.

Il y a de fortes chances que l’iPhone reste dans son enveloppe plusieurs jours dans l’enceinte du bâtiment avant que quelqu’un le renvoie à la poste. Tout le temps pour un hacker d’utiliser l’appareil comme présence à distance, en commençant par exemple par une connexion au Wi-Fi pour pénétrer sur le réseau local et, in fine, installer des malwares plus durables.

Ce que l’on ne sait pas

Ces derniers mois, Wikileaks nous a habitué au sensationnalisme et sait également survendre ses leaks. Notre confrère Olivier Tesquet, pour Télérama, a montré dans un article à quel point Wikileaks et la CIA étaient engagés dans un jeu du chat et de la souris et qu’une telle publication a un rôle politique. C’était aussi l’objet de l’article que nous publiions hier en guise de préambule sur notre traitement de cette affaire : Wikileaks est une source et n’est pas la vérité. De plus, les liens de l’organisation et de Julian Assange avec des puissances ennemies des États-Unis sont de plus en plus critiqués, dans la mesure où ils remettent en cause le vœu de neutralité de l’organisation.

Il serait naïf de sous-estimer la CIA et les compétences techniques de l’agence

Pour autant, il serait naïf de sous-estimer la CIA et les compétences techniques de l’agence. Avec suffisamment de ressource, de temps et d’argent, il est possible de mettre au point des attaques complexes et efficaces contre des cibles. La CIA dispose de toutes ces ressources et les nombreuses affaires liées à l’espionnage américain montrent à quel point leurs méthodes sont sophistiquées — et leur cyber-guerre, souvent rondement menée.

À lire sur Numerama : Vault 7  : toutes les questions pour comprendre les documents dévoilés par Wikileaks

D’après Wikileaks, ces documents dits « Year 0 » ne sont qu’une mise en bouche et que d’autres fichiers seront mis en ligne petit à petit. De même, d’après l’organisation de Julian Assange, certains outils doivent être « désarmés » avant d’être rendus publics — comprenez, qu’on sache comment ils fonctionnent pour communiquer en même temps sur les moyens de s’en protéger. Dès lors, si le scepticisme de la communauté des experts en cybersécurité est légitime au vu de ce que Wikileaks a déjà dévoilé, il faut garder à l’esprit que les documents actuels ne sont que des aperçus.

Et en tant qu’aperçus, ces exemples permettent de penser ce que peut faire l’agence en tant que puissance numérique. Et ce sont ces perspectives que nous essayons de démêler, sur la base des éléments que nous découvrons petit à petit dans l’archive que vous pouvez vous aussi consulter.

Partager sur les réseaux sociaux