Les documents lâchés dans la nature par Wikileaks, dans une immense fuite baptisée Vault 7, ont provoqué de nombreuses réactions. Google, Microsoft, Samsung et la Linux Foundation ont tous indiqué enquêter, tandis que la CIA elle-même, sans rien confirmer, a préféré réexpliquer certains points cruciaux de sa mission.
Plus de 8 000 documents (moins de 1 % du total) ont été publiés mardi soir par Wikileaks, montrant en partie les moyens mis en œuvre par la CIA pour accomplir sa mission d’espionnage.
Android, iOS, Linux, macOS, Windows, routeurs, Smart TV de Samsung (avec accès physique) et même certains véhicules étaient concernés, le plus souvent par des failles de sécurité – relançant ainsi le débat sur la divulgation respectueuse de leurs détails à l’industrie – mais également via des malwares prenant parfois l’apparence d’applications couramment utilisées comme VLC, Kaspersky, etc.
Wikileaks pointait également dans ces documents un groupe particulier, nommé Umbrage, dont la mission était de collecter des outils de renseignement appartenant à d'autres pays. L'intérêt était alors double : étoffer sa propre gamme d'outils, mais également brouiller les pistes en faisant croire que l'attaque provenait d'ailleurs.
Rapidement, quelques sociétés impliquées avaient réagi. Apple indiquait ainsi que la « plupart des failles » étaient corrigées, sans préciser de pourcentage ou d’informations supplémentaires sur celles qui restaient exposées aux quatre vents. Chez Telegram ou Signal, on expliquait que les applications de messagerie n’y étaient pour rien, puisque les soucis se trouvaient au sein-même des systèmes d’exploitation.
Google, Microsoft, Samsung, Linux Foundation : tout le monde enquête
Depuis, d’autres réactions ont été entendues. Google a notamment expliqué : « Puisque nous avons examiné les documents, nous sommes confiants dans le fait que les mises à jour de sécurité et les protections dans Chrome et Android protègent déjà les utilisateurs de la plupart de ces failles supposées. Notre analyse est en cours et nous implémenterons toute protection nécessaire ». Et d’ajouter que la firme a toujours considéré la sécurité de ses utilisateurs comme une « priorité absolue ».
Du côté de Samsung et Microsoft, on donne moins de détails. Les deux entreprises ont bien indiqué qu’elles enquêtaient sur les documents, mais rien de plus. On imagine effectivement, au vu du contexte, que des actions seront rapidement prises le cas échéant, mais les entreprises n’ont pas spécialement cherché à rassurer les utilisateurs, comme l’ont fait Apple et Google. Dans la pratique bien sûr, la différence est mince : sans données claires sur les failles corrigées ou non, il est impossible de savoir si ces déclarations peuvent être prises au pied de la lettre.
Pour Linux, la situation est particulière, tant les distributions sont nombreuses et le noyau présent dans un grand nombre de produits. Une situation résumée par la Linux Foundation à la BBC : « Linux est un système d’exploitation très largement utilisé, avec une énorme base d’installation à travers le monde, donc il n’est pas surprenant que les agences gouvernementales de nombreux pays ciblent Linux tout comme de nombreuses plateformes fermées qu’ils ont cherché à compromettre ».
La fondation précise cependant que le cycle rapide de la plupart des distributions permettra de corriger les failles dès que les correctifs seront disponibles. Cependant, elle ne s’est pas risqué à commenter lesdites brèches, et il faudra donc attendre que les éditeurs concernés publient des informations à ce sujet.
La CIA préfère parler de sa mission...
Interrogée à plusieurs reprises sur la situation, la CIA est restée sur sa ligne de défense : aucun commentaire sur ce type de publication ou sur les enquêtes en cours. Pourtant, l’agence a quand même tenu à rappeler sa principale mission, avec quelques points cruciaux.
D’une part, la CIA doit « collecter agressivement le renseignement étranger pour protéger les États-Unis contre les terroristes, les nations hostiles et autres adversaires ». Elle rappelle qu’il est de son devoir d’être innovante et à la pointe de la technologie, tout en étant la « première ligne de défense » contre les ennemis. Parce que l’Amérique « ne mérite rien de moins »
Elle insiste cependant sur un point particulièrement important aux États-Unis et apparu de nombreuses fois durant les débats autour d’Edward Snowden : la CIA est contrainte par la loi à n’opérer qu’en-dehors des frontières du pays. Aucune surveillance électronique ne peut être mise en place sur un citoyen sur le sol américain. Elle ajoute que ses activités sont soumises à une « supervision rigoureuse ».
Notez que le directeur du FBI, James Comey, s'est plu à rappeler que le « respect absolu de la vie privée n'existe pas aux États-Unis ». Au cas où certains auraient eu l'idée saugrenue de penser qu'ils étaient à l'abri, puisque le FBI intervient, lui, sur le territoire.
... et remet en cause le bien fondé de l'action de Wikileaks
Cependant, elle profite de l’occasion pour tacler Wikileaks, estimant que le public américain devrait être « profondément troublé » par toute divulgation de l’organisation « conçue pour endommager la capacité de la communauté du renseignement à protéger les États-Unis ». Elle vise directement la responsabilité de Wikileaks dans ce que l’agence considère un affaiblissement direct de la défense du pays.
Un point de vue pleinement partagé par son ancien directeur, Michael Hayden, qui a indiqué à la BBC : « Si ce que je lis est vrai, alors ça ressemble à une fuite incroyablement préjudiciable en termes de tactiques, de techniques, de procédures et d’outils qui étaient utilisés par la CIA pour conduire légitimement [ses opérations à l’étranger]. En d’autres termes, mon pays et les amis de mon pays sont moins en sécurité ».
Notez que la CIA se serait attendue à des fuites sur ses techniques de renseignement. Reuters citait ainsi deux officiels de l'agence, pour qui certains sous-traitants auraient communiqué ces informations. Elle n'a cependant pas réagi sur ce point particulier.
Par ailleurs, et puisque la CIA pourrait se faire passer pour des puissances étrangères via le groupe Umbrage, certains estiment que certaines opérations de l'agence auraient été maquillées en interventions de la Russie. C'est l'opinion du très à droite journal Breitbart de Stephen Bannon, l'un des conseillers de Donald Trump, qui relie sans vergogne l'incident à la supposée implication de Moscou dans l'élection américaine. De quoi alimenter les nombreuses théories du complot, dans lesquelles il sera bien difficile de séparer le bon grain de l'ivraie.
La délicate question des failles de sécurité
Cette affaire a les mêmes retentissements que la publication des documents dérobés à la NSA par Edward Snowden, qui y avait travaillé pour rappel en tant que sous-traitant pendant plusieurs années, avec les plus hautes autorisations d’accès. L’une des questions majeures revient du coup sous les feux des projecteurs : quelle est la responsabilité des agences de sécurité dans le traitement des failles de sécurité ?
Une interrogation particulièrement sensible, car les agences ont deux possibilités : soit elles avertissent l’entreprise concernée pour qu’elle corrige le problème, soit elle garde les détails pour elle-même, en vue de les utiliser pour une prochaine opération. Les failles 0-day, exploitables ou exploitées sans même que l’éditeur soit au courant, sont en effet autant d’armes modernes dans un arsenal numérique, donnant lieu à des marchés noirs et gris, et donc à un véritable commerce, comme on a pu le voir dans l’opposition entre Apple et le FBI.
La responsabilité des uns et des autres
Actuellement, beaucoup se demandent si les failles récoltées par la CIA sont passé par le VEP (Vulnerability Equity Process), un mécanisme de validation des failles mis en place durant le premier mandat de Barack Obama. Le VEP sert normalement à déterminer le destin d’une faille, et il se pourrait que la CIA n’ait pas systématiquement respecté la loi à ce sujet.
Mais la publication de Wikileaks relance elle aussi le débat, cette fois sur le mode de divulgation des failles. La grande majorité des éditeurs préfère une communication « responsable », comprendre « à l’abris des regards », et ce pour une raison simple : elle leur donne le temps de préparer le correctif sans que les pirates ne soient au courant.
Les communications publiques sont considérées comme plus dangereuses dans la mesure où les entreprises et les pirates sont informés en même temps des failles. Une course contre la montre s’engage alors, les premières tentant de colmater les brèches quand les seconds essayent de les exploiter au plus vite. Le sujet est évidemment matière à débat, comme l’ont montré les divulgations de failles dans Windows par Google, Microsoft ne réagissant pas dans le délai imparti.
Pour Denelle Dixon, responsable juridique chez Mozilla, la manière de procéder de Wikileaks n'est cependant pas la bonne et pourrait être elle aussi dommageable. L'organisation aurait dû communiquer séparément sur les failles de sécurité pour que les éditeurs jugulent les problèmes sans danger pour les utilisateurs.
La ligne de conduite de Wikileaks n’est cependant pas complexe à deviner. Maintenant que les failles sont exposées et les éditeurs au courant, l’organisation pense faire coup double : entamer le « cyberarsenal » de la CIA tout en réduisant le nombre de failles 0-day. Dans les deux cas, le niveau de sécurité de utilisateurs s’en trouve renforcé, si l’on met de côté les questions de renseignement et la manière très différente dont le concept de sécurité est abordé par la CIA.
Correction des failles : rien n’est jamais gagné
Enfin, parler de vulnérabilités évoque nécessairement les correctifs, et donc leur distribution. Ici, la situation peut grandement varier. Google a beau par exemple se montrer rassurant, il n’est pas certain que tous les utilisateurs soient aussi protégés que la firme aime à le prétendre.
Selon les documents de Wikileaks en effet, au moins une partie des failles collectées sur Android était encore valable l’année dernière. Ce qui impliquerait des correctifs sortis au cours des derniers mois. Encore, quand on connaît les politiques de support des constructeurs, on imagine mal comment une majorité d’utilisateurs pourraient être protégés, seules les versions 6 et 7 du système recevant des correctifs.
Pour iOS, le problème est « moins grave ». Apple maitrisant le matériel et le logiciel, les mises à jour sont distribuées de manière uniforme à l’ensemble des appareils compatibles. D’après l’entreprise, 80 % des appareils sont ainsi déjà équipés de la dernière révision du système, estampillée 10.2.1. Ce qui ne signifie en aucun cas que les utilisateurs sont à l’abris puisque, là encore, nous n’avons aucune information précise sur les failles réellement corrigées.
Du côté de Microsoft, Windows 7, 8.1 et 10 disposent désormais du même cycle mensuel de mises à jour cumulatives. On imagine que des correctifs seront publiés si nécessaires, Vista restant sur des téléchargements séparés (ce qui ne change rien en pratique pour la correction). Pour des produits hors de support comme Windows XP, le problème ne sera finalement pas très différent : il faut migrer aussi rapidement que possible sur un système plus récent.
Globalement, les utilisateurs doivent s’attendre à la publication de correctifs dans les semaines ou mois qui viennent, en fonction de ce qui sera trouvé au cours des enquêtes.