«Vault 7» de WikiLeaks: pourquoi la CIA a besoin de l’adresse IP de la police russe

Il y a quelques jours, WikiLeaks a publié plus de 8 700 documents confidentiels appartenant à la CIA. Une situation sans précédent: l'ensemble de données « Vault 7 » est principalement constitué du programme de piratage de la CIA dont tout le monde, y compris des terroristes et criminels, peut désormais tirer avantage.

Sputnik vous présente un bref résumé de ce que contiennent les fichiers de WikiLeaks.

Les terroristes ne sont pas les cibles pour la CIA

Les documents de WikiLeaks évoquent le questionnaire rempli par chaque employé de la CIA avant le début d'une opération de piratage. Le questionnaire est censé préciser le type de système informatique qu'il faut hacker, les données qu'il faut obtenir (documents, audio ou vidéo), le virus qu'on projette d'utiliser ainsi que la cible d'une attaque.

Sauf que les terroristes, extrémistes et autres criminels ne sont pas inscrits parmi les cibles possibles dans le questionnaire disponible qui ne fait état que des « agents », « services du renseignement étrangers », « gouvernements étrangers » et « administrateur système ou cible technique ».

Sans doute les terroristes (qui, comme d'autres personnes utilisent des ordinateurs, téléphones, tablettes et téléviseurs) peuvent-ils être classés dans la section « autres », mais les priorités des cibles au sein de la CIA parlent d'elles-mêmes.

Une cyber-attaque depuis l'adresse IP du ministère russe de l'Intérieur?

Autre détail curieux: les experts de la CIA profitaient d'une vaste liste d'adresses IP dans différents pays, révèlent les documents publiés. Ainsi, ils pouvaient truquer le système en écrivant dans le code que l'attaque provenait d'autres pays, mais en aucun cas des États-Unis. Par exemple, des journalistes de Sofia ont compté « seulement » 150 adresses en provenance de la Bulgarie qui appartenaient à des sociétés de télécommunications, fournisseurs de services Internet, banques et universités.

La liste comprend plusieurs adresses russes: celles de l'Académie des sciences de Russie, de l'Institut de recherche spatiale, ainsi que des sociétés de télécommunications MTS, Sibirtelecom, Sinterra et même celui… du ministère de l'Intérieur.

L'incident avec des pirates russes présumés a fait couler beaucoup d'encre fin 2016. Les hackers russes seraient engagés dans des fraudes à grande échelle avec de la publicité sur Internet en utilisant les adresses IP de l'usine métallurgique de Magnitogorsk. L'enquête a été menée par la société privée américaine White Ops qui a publié cette information. Mais selon l'usine, ces adresses ne sont plus utilisées depuis longtemps. En outre, un certain nombre d'adresses IP de l'établissement ont été utilisées illégalement par des inconnus en provenance du territoire des États-Unis.

Malgré les objections de l'usine, cette « trace russe » a fait beaucoup de bruit dans les médias.

Si une enquête publique ou privée avait révélé que, par exemple, les établissements gouvernementaux américains avaient été attaqués depuis l'adresse IP du ministère russe de l'Intérieur, le scandale aurait été tout simplement grandiose. Par ailleurs, une tentative similaire a déjà eu lieu en décembre 2016 quand le gouvernement américain a publié un rapport qui énumérait des adresses « suspectes », « associées aux hackers russes », y compris des adresses situées directement en Russie.

Dans le même temps, les observateurs ont prêté attention au fait que près de la moitié des adresses sont ou étaient des nœuds du réseau sécurisé Tor, ce qui signifie qu'elles ont été utilisées par des centaines de milliers de personnes.

Emprunter les meilleures pratiques

Les archives du projet Umbrage occupent une place particulière parmi les documents publiés. En vertu de ce projet, la CIA collectait des informations sur les méthodes de travail et les traits caractéristiques des groupes de pirates du monde entier en adoptant ces techniques dans leur systèmes pour leurs propres fins. Ainsi, les Américains laissaient les « empreintes » d'autres pirates sur le lieu de leur piratage: par exemple, en changeant les caractéristiques du code du virus, insérant des inscriptions dans des langues étrangères et même faisant des erreurs évidentes.

Dans sa déclaration officielle, WikiLeaks indique directement que « la CIA recueille et conserve une vaste bibliothèque de technologies offensives comprenant des virus informatiques qui ont été créés dans d'autres pays, y compris en Russie ».

Les pirates devaient essuyer toute trace de l'implication de la CIA, du gouvernement américain et de ses sources, pour qu'ils ne soient pas identifiés même soumis à un examen scientifique. Avec une telle approche du renseignement américain, il est en fait impossible de déterminer l'auteur de telle ou telle attaque.

Entre autres, la CIA bénéficiait de l'utilitaire Rebound « emprunté » au programme Shamoon. En 2012, la compagnie pétrolière saoudienne Saudi Aramco et la compagnie de gaz qatarie RasGas ont été attaquées avec l'aide de systèmes informatiques Shamoon. À l'époque, Washington a déclaré que le programme était d'origine iranienne, mais Téhéran a nié toutes les allégations, exigeant une enquête internationale.

L'origine du programme initial reste inconnue, peut-être Shamoon vient-il en effet de l'Iran: son code contenait l'image d'un drapeau américain en feu. Selon les experts du « Kaspersky Lab », le programme a été développé par des personnes qui « ne sont pas des programmeurs assez hautement qualifiés ».

Maintenant, c'est clair: le programme iranien faisait partie de l'arsenal informatique de la CIA.

Les sites et bureaux de l'Arabie saoudite ont été de nouveau attaqués en novembre 2016 et janvier 2017 avec une version actualisée de Shamoon.

Soyez vigilants, en ces jours, même les murs ont les oreilles!

La diversité d'options d'espionnage est impressionnante: les fuites de « Vault 7 » révèlent les capacités de piratage de la CIA sur un large éventail de produits américains et européens, notamment les systèmes Windows, iOS, et Android. En outre, les techniques de piratage permettent à la CIA de contourner le cryptage de WhatsApp, de Signal, de Telegram, de Wiebo, de Confide et de Cloackman en piratant les smartphones et de collecter les enregistrements audio et les messages avant que le cryptage ne soit activé.

Le programme « Weeping Angel » (L'Ange qui pleure) mérite une attention tout à fait particulière. Développé en collaboration avec le MI5 britannique (service de renseignement responsable de la sécurité intérieure), l'Ange infecte les « téléviseurs intelligents» de Samsung de manière à ce qu'ils commencent à enregistrer les conversations de leurs propriétaires et à les envoyer par Internet directement aux serveurs du renseignement américain.

En octobre 2014, la CIA étudiait l'idée de créer un virus infectant le système de gestion des voitures et camions, mais les documents de « Vault 7 » ne précisent pas son utilisation éventuelle. Il y a deux options possibles: soit la voiture se transforme en espion et rapporte à la CIA son itinéraire, soit l'infection conduit à un accident de voiture.

Préoccupé par les récentes révélations de WikiLeaks selon lesquelles la CIA avait mis au point de nombreux moyens pour espionner des individus, Apple a fait part de sa réaction. L'entreprise a déclaré que les failles décrites dans « Vault 7 » avaient déjà été corrigées en janvier et que ses ingénieurs travaillaient actuellement sur d'autres vulnérabilités.

Des déclarations similaires ont été faites par Samsung et Microsoft. Dans tous les cas, même si les failles n'ont pas été corrigées plus tôt, les vulnérabilités seront éliminées le plus vite possible, et cela signifie que les services de cyber-espionnage de la CIA se voient désarmés concernant les programmes évoqués par WikiLeaks.

Le plus grand consulat des États-Unis

La fuite implique également que l'une des bases principales de l'agence est située à Francfort, en Allemagne, et opère sous le couvert du consulat général. C'est l'endroit d'où les pirates de la CIA ont développé la plupart des logiciels malveillants et, par conséquent, réalisé les opérations de cyber-espionnage en Europe, au Moyen-Orient et en Afrique.

Il s'agit d'un consulat tout à fait particulier dont la taille dépasse celle de quelques ambassades. Selon le journal allemand Frankfurter Allgemeine Zeitung, près d'un millier de personnes travaillent au consulat qui couvre une superficie de neuf hectares et est entouré d'une clôture de quatre mètres avec du fil de fer barbelé.

Le Suddeutsche Zeitung note qu'à Francfort et dans sa banlieue, les Américains ont organisé un réseau de sociétés fictives qui assure la couverture pour le renseignement américain.

De fait, le schéma est idéal: contrairement à l'ambassade, ce n'est pas le territoire des États-Unis, et les lois américaines, y compris celles liées au viol de la vie privée, ne les touchent pas. D'autre part, l'immunité diplomatique rend impossible la vérification des activités des agents concernant le respect des lois allemandes.

Les agents disposeraient en effet de passeports diplomatiques. Dans une notice rédigée par l'un des agents américains, on peut notamment lire: « Passez tranquillement la frontière avec votre couverture bien en tête, et ils se contenteront de tamponner votre passeport ».

Suivez Sputnik sur Telegram pour ne jamais manquer les actualités les plus importantes grâce à nos sélections du matin et du soir. Pour recevoir les actualités de notre chaîne, il suffit de télécharger l'application Telegram sur n'importe quel smartphone, tablette ou ordinateur puis cliquer sur le lien et appuyer sur « Join »