Des hackers de la CIA auraient pu s'attaquer aux alliés des USA

Les attaques des hackers visaient des réseaux, des serveurs, des ordinateurs ou encore des téléphones portables.

Les auteurs du rapport n'accusent pas directement le renseignement américain d'organiser des piratages: ils constatent simplement que pendant les cyberattaques contre les clients de Symantec, c'est l'arsenal de la CIA récemment dévoilé par WikiLeaks qui était utilisé. Cette base de données a été surnommée Vault 7.

Une « couverture » pour la CIA

Les analystes de Symantec ont conclu que les outils d'espionnage et les protocoles de travail appartenant à la CIA avaient été utilisés par les hackers du groupe Longhom. « Les outils utilisés par Longhom correspondent parfaitement aux délais d'élaboration et aux spécifications techniques décrits dans les documents révélés par WikiLeaks. Le groupe Longhom utilise les protocoles cryptographiques qui apparaissent dans les documents de Vault 7, ainsi qu'un guide tactique pour éviter d'être détecté dévoilé par WikiLeaks », indique le rapport.

Comme Symantec protège ses clients contre les hackers de Longhom, ses spécialistes ont analysé minutieusement l'arsenal et l'histoire du groupe. Conclusion: non seulement les programmes malveillants mais également leur calendrier de mise à jour coïncident — quand la nouvelle version du virus faisait son apparition à la CIA, elle se retrouvait immédiatement à disposition de hackers « inconnus ». C'est le cas notamment pour le virus Fluxwire. Symantec a également découvert (en analysant l'heure des attaques), que les hackers travaillaient selon le fuseau horaire nord-américain avec une semaine de travail de cinq jours — comme des fonctionnaires ordinaires.

Longhom se manifeste activement au moins depuis 2011. Selon des indices indirects, le groupe aurait lancé son activité en 2007 en prenant pour cible des gouvernements et des organisations internationales, ainsi que des entreprises financières, énergétiques et de télécommunications. La géographie des piratages couvre les pays du Moyen-Orient, d'Europe, d'Asie et d'Afrique. Une fois seulement, un ordinateur a été infecté aux USA mais seulement quelques heures plus tard l'outil de désinstallation a été lancé. Selon les experts de Symantec, cela indique que l'attaque était « accidentelle » ou « d'essai » et que les hackers se sont immédiatement « repris ».

Les origines des « hackers russes »

La CIA a refusé de commenter le rapport de Symantec. Son porte-parole Heather Fritz Horniak a seulement critiqué une nouvelle fois WikiLeaks, dont l'investigation viserait selon lui à discréditer les renseignements américains et ne fait que « mettre en péril le personnel et les opérations de la CIA, mais également fournit aux ennemis des outils et des informations nuisibles ». Avant de préciser que la CIA "respecte toujours la loi" et « n'espionne pas les citoyens ».

A son tour, le porte-parole de Symantec Eric Chien a déclaré que ce n'étaient pas les citoyens qui étaient visés par les cyberattaques utilisant les moyens de la CIA, mais des organismes publics et des établissements étrangers. Symantec ne dévoile pas la liste de ses clients attaqués par Longhom mais la compagnie souligne que « plusieurs sites attaqués appartiennent aux alliés des USA en Europe ». « Certaines organisations et personnes seraient extrêmement surprises de l'apprendre », conclut Eric Chien.

Pendant ce temps, WikiLeaks a publié une nouvelle partie de Vault 7: les nouveaux documents parlent d'un logiciel Grasshopper (sauterelle) prévu pour attaquer les ordinateurs fonctionnant sous Windows. Grâce à Grasshopper, les hackers peuvent « paramétrer » à distance l'ordinateur visé: bloquer des logiciels, imposer des paramètres de travail, provoquer des perturbations lors de l'utilisation d'antivirus incitant l'utilisateur à renoncer à une protection. Détail curieux: à la base du logiciel Grasshopper se trouvent des fragments du virus Sarberp que les hackers russes étaient accusés d'avoir créé.