Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Vault 7 : Wikileaks aidera les éditeurs, Intel, VLC et Notepad++ réagissent

Il aurait peut-être fallu commencer par ça
Internet 5 min
Vault 7 : Wikileaks aidera les éditeurs, Intel, VLC et Notepad++ réagissent
Crédits : weerapatkiatdumrong/iStock

Face à un certain nombre de critiques, Wikileaks a décidé de travailler directement avec les sociétés concernées par les failles de sécurité trouvées dans les ressources de la CIA. Entre temps, d’autres entreprises ont réagi, notamment Intel qui a publié des outils de sécurité.

Depuis la publication des documents Vault 7 de Wikileaks sur les techniques de la CIA pour espionner de nombreux types d’appareils, l’organisation a été critiquée. Son implication a été remise en cause, certains imaginant qu’elle serait discrètement pilotée par Moscou en tirant parti de l’idéalisme de Julien Assange. Mais de manière plus pragmatique, c’est son attitude face aux failles de sécurité qui a dérangé.

La publication des informations a relancé en effet le débat sur la divulgation responsable des vulnérabilités. Même si des sociétés comme Apple et Google ont indiqué que la plupart avaient déjà été corrigées – prouvant au passage que la réserve publiée avait un certain âge – il n’en reste pas moins que d’autres ne l’étaient pas, attirant immanquablement l’attention de pirates.

Wikileaks aidera à la résolution des failles avant de publier d'autres documents

Julien Assange a donc annoncé que Wikileaks allait non seulement laisser du temps aux entreprises pour travailler sur leurs solutions respectives, mais que l’organisation se tenait prête à travailler discrètement avec elles pour fournir toute information technique supplémentaire qui serait nécessaire.

Une fois que les éditeurs concernés auront mis à jour leurs produits, alors seulement Wikileaks publiera les informations suivantes. Une décision sans doute bienvenue pour éviter d’enflammer une situation qui, même avec des bases communes, est assez différente de 2013, quand Edward Snowden avait publié les premières informations sur le programme Prism de la NSA.

Notez également qu’Assange a accusé la CIA « d’incompétence dévastatrice », les fameux outils transitant entre les sous-traitants sans protections particulières, malgré la sensibilité du matériel.

VLC réagit et prépare une version Windows « anti-CIA »

Hier, l’association VideoLAN a publié un communiqué pour donner quelques indications sur la fausse version de VLC utilisée par la CIA pour l’espionnage des ordinateurs. On apprend qu’elle nécessite Windows XP ou une version ultérieure ainsi qu’un accès physique à la machine, et qu’il s’agit de la déclinaison 2.1.5 Portable.

Surtout, l’association explique que la technique de la CIA ne passe pas par une quelconque faille, ni dans la version Portable, ni même dans la mouture classique. À la place, l’agence a modifié le manifeste de l’application pour lui faire charger une bibliothèque tierce, psapi.dll. Elle contient un malware chargé de trouver des informations sur la machine avant de les expédier à la CIA.

Cependant, le malware utilise une technique particulière pour mener à bien sa mission. L’équipe de VideoLAN travaille donc sur une nouvelle version 2.2.5 qui, quand elle sera disponible, rendra impossible l’activité masquée. La future branche 3.X sera également mise à jour en fonction. Il est recommandé aux utilisateurs de mettre à jour leur lecteur multimédia dès que la mise à jour sera disponible.

Notepad++ corrige un problème équivalent

Notepad++ fait partie de la liste des applications dont la CIA peut se servir pour infecter une machine, si tant est qu’un agent puisse obtenir un accès physique. La technique retenue est la même que pour VLC, avec une DLL remplacée par une version modifiée, ici scilexer.dll.

Sur son site, l’éditeur explique que la nouvelle version 7.3.3, déjà disponible, renforce le contrôle du certificat de la bibliothèque. Si aucun problème n’est détecté, le logiciel se lance. Si le certificat est douteux, il ne se lance pas. Par contre, il précise que si la machine est déjà infectée, installer cette version ne servira sans doute à rien, la CIA ayant déjà la maîtrise de l’ordinateur.

Intel publie des outils de sécurité

Parmi les documents publiés par Wikileaks, certains décrivent comment la CIA parvient à implanter un rootkit dans le firmware de MacBook, là encore avec un accès physique à la machine. En temps normal, l’installation d’un nouveau firmware est en effet pilotée directement via le Mac App Store. Rappelons qu’un rootkit est un logiciel malveillant qui se positionne très tôt dans la chaine de démarrage et reste masqué de la plupart des logiciels de sécurité.

C’est l’Embedded Development Branch de l’agence américaine qui s’est chargée de cette mission. Elle a créé une sorte d’implant baptisé DerStarke agissant sur deux vecteurs : Bokor, un module d’injection de code dans le kernel d’OS X, et DarkMatter, un module chargé d’assurer une persistance dans l’EFI de la machine. Entre les deux, on trouve QuarkMatter, un pilote stocké dans l’EFI chargé de faire le lien.

L’équipe Advanced Threat Research d’Intel vient justement de publier un outil pour son framework open source CHIPSEC pour détecter les faux binaires EFI. Disponible sous Linux, macOS et Windows, il permet via des lignes de commande d’analyser une configuration matérielle, notamment le firmware, dans le cas présent l’EFI.

L’outil n’est pas vraiment à portée du grand public puisqu’il permet par exemple de récupérer une image EFI propre depuis un constructeur, d’extraire son contenu puis de comparer la liste des binaires avec celle présente sur le système. De fait, Intel recommande de générer la fameuse liste blanche après l’achat d’une machine ou quand l’utilisateur est certain que sa machine n’a pas été infectée, afin de s’en servir plus tard comme point de comparaison.

Les outils de la CIA ne sont pas forcément sophistiqués

Certains experts en sécurité sont d’avis que la CIA ne cherche pas nécessairement à être aussi innovante qu’elle le prétend, notamment quand elle rappelle sa mission.

L’agence semble surtout avoir collecté autant de failles de sécurité 0-day qu’elle le pouvait et s’être inspirée de techniques existantes. Par exemple, dans le cas de Weeping Angels pour les Smart TV de Samsung, le chercheur Dan Tentler, également PDG de la société Phobos Group, indique qu’il avait vu cette technique démontrée sur la scène d’une conférence en 2013.

Il pointe cependant que la situation n’est pas surprenante : il est normal que la CIA fasse attention aux techniques présentées afin de s’en inspirer ou de les reprendre en l’état.

Pour d’autres, comme rapportés par Cyberscoop, les malwares utilisés n’ont rien de bien extraordinaire. Certains sont même décrits comme d’un niveau technique assez peu élevé et peuvent être très facilement détectés par des antivirus.

41 commentaires
Avatar de Cashiderme INpactien
Avatar de CashidermeCashiderme- 10/03/17 à 16:32:07

"L’équipe de VideoLAN travaille donc sur une nouvelle version 2.2.5 qui, quand elle sera disponible, rendra impossible l’activité masquée."

Le logiciel etant libre, qu'est ce qui empechera de le recompiler pour rendre possible "l'activité masquée" à nouveau ?

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 10/03/17 à 16:33:41

Avec un DRM !

Oh wait :dd:

Avatar de etix Abonné
Avatar de etixetix- 10/03/17 à 16:41:57

Rien. N'importe qui pourra évidement recompiler et redistribuer VLC. Toutefois seul VideoLAN dispose de la clef de chiffrement des binaires Windows. Un "faux" VLC ne sera donc pas signé et ce sera visible dès le lancement de l'installeur.

Avatar de Cashiderme INpactien
Avatar de CashidermeCashiderme- 10/03/17 à 16:47:15

etix a écrit :

Rien. N'importe qui pourra évidement recompiler et redistribuer VLC. Toutefois seul VideoLAN dispose de la clef de chiffrement des binaires Windows. Un "faux" VLC ne sera donc pas signé et ce sera visible dès le lancement de l'installeur.

Ils parlent de la version portable, donc pas d'installeur. Et je pense que la CIA à ce qu'il faut pour signer des binaires windows.

Avatar de KooKiz Abonné
Avatar de KooKizKooKiz- 10/03/17 à 17:15:20

C'est le même souci pour Notepad++. La protection vérifie le certificat de la DLL, mais si la CIA a les moyens de modifier la DLL alors ils ont aussi les moyens de modifier l'EXE (et donc contourner la protection).

Je comprends que les développeurs se sentent obligés de réagir, mais j'ai peur que ces annonces fassent croire au grand public que les logiciels sont maintenant sécurisés alors que la situation est strictement identique à celle qu'elle était avant ces révélations.

Édité par KooKiz le 10/03/2017 à 17:15
Avatar de picatrix INpactien
Avatar de picatrixpicatrix- 10/03/17 à 17:48:20

finalement la CIA n'a qu'à invoquer l'état d'urgence et dire que ce sont des interceptions administratives pour surveiller des potentiels terroristes colporteurs de fake-news.
Personne ne peut leur interdire de lutter contre le terrorisme, non ?

De toutes façons un type qui est sous w10 et qui par peur d'être espionné utiliserait VLC et notepad++ c'est un peu suspect, non ?

voila, pardon aux familles toussa ... maintenant circulez !

Avatar de PercevalIO INpactien
Avatar de PercevalIOPercevalIO- 10/03/17 à 17:49:19

On sait si le Démineur ou le Spider Solitaire sont infectés ? :lol:

Avatar de Ricard INpactien
Avatar de RicardRicard- 10/03/17 à 17:54:08

Cashiderme a écrit :

Et je pense que la CIA à ce qu'il faut pour signer des binaires windows.

Non. C'est VideoLan qui signe son soft, pas Microsoft.

Avatar de Ricard INpactien
Avatar de RicardRicard- 10/03/17 à 17:57:42

KooKiz a écrit :

C'est le même souci pour Notepad++. La protection vérifie le certificat de la DLL, mais si la CIA a les moyens de modifier la DLL alors ils ont aussi les moyens de modifier l'EXE (et donc contourner la protection).

Je comprends que les développeurs se sentent obligés de réagir, mais j'ai peur que ces annonces fassent croire au grand public que les logiciels sont maintenant sécurisés alors que la situation est strictement identique à celle qu'elle était avant ces révélations.

N'importe qui peut modifier une dll et un exe. Il y a pleins de logiciels qui le font très bien comme Ollydbg, mais faut pouvoir le signer après. Et ça c'est autre chose. :D

Avatar de matroska INpactien
Avatar de matroskamatroska- 10/03/17 à 18:17:52

Tout un plat pour des failles non exploitables à distance et nécessitant un accès physique... En gros ça concerne de grosses affaires et les gens lambda ne sont absolument pas concernées.

:fumer:

Il n'est plus possible de commenter cette actualité.
Page 1 / 5
  • Introduction
  • Wikileaks aidera à la résolution des failles avant de publier d'autres documents
  • VLC réagit et prépare une version Windows « anti-CIA »
  • Notepad++ corrige un problème équivalent
  • Intel publie des outils de sécurité
  • Les outils de la CIA ne sont pas forcément sophistiqués
S'abonner à partir de 3,75 €