Face à un certain nombre de critiques, Wikileaks a décidé de travailler directement avec les sociétés concernées par les failles de sécurité trouvées dans les ressources de la CIA. Entre temps, d’autres entreprises ont réagi, notamment Intel qui a publié des outils de sécurité.
Depuis la publication des documents Vault 7 de Wikileaks sur les techniques de la CIA pour espionner de nombreux types d’appareils, l’organisation a été critiquée. Son implication a été remise en cause, certains imaginant qu’elle serait discrètement pilotée par Moscou en tirant parti de l’idéalisme de Julien Assange. Mais de manière plus pragmatique, c’est son attitude face aux failles de sécurité qui a dérangé.
La publication des informations a relancé en effet le débat sur la divulgation responsable des vulnérabilités. Même si des sociétés comme Apple et Google ont indiqué que la plupart avaient déjà été corrigées – prouvant au passage que la réserve publiée avait un certain âge – il n’en reste pas moins que d’autres ne l’étaient pas, attirant immanquablement l’attention de pirates.
Wikileaks aidera à la résolution des failles avant de publier d'autres documents
Julien Assange a donc annoncé que Wikileaks allait non seulement laisser du temps aux entreprises pour travailler sur leurs solutions respectives, mais que l’organisation se tenait prête à travailler discrètement avec elles pour fournir toute information technique supplémentaire qui serait nécessaire.
Une fois que les éditeurs concernés auront mis à jour leurs produits, alors seulement Wikileaks publiera les informations suivantes. Une décision sans doute bienvenue pour éviter d’enflammer une situation qui, même avec des bases communes, est assez différente de 2013, quand Edward Snowden avait publié les premières informations sur le programme Prism de la NSA.
Notez également qu’Assange a accusé la CIA « d’incompétence dévastatrice », les fameux outils transitant entre les sous-traitants sans protections particulières, malgré la sensibilité du matériel.
VLC réagit et prépare une version Windows « anti-CIA »
Hier, l’association VideoLAN a publié un communiqué pour donner quelques indications sur la fausse version de VLC utilisée par la CIA pour l’espionnage des ordinateurs. On apprend qu’elle nécessite Windows XP ou une version ultérieure ainsi qu’un accès physique à la machine, et qu’il s’agit de la déclinaison 2.1.5 Portable.
Surtout, l’association explique que la technique de la CIA ne passe pas par une quelconque faille, ni dans la version Portable, ni même dans la mouture classique. À la place, l’agence a modifié le manifeste de l’application pour lui faire charger une bibliothèque tierce, psapi.dll. Elle contient un malware chargé de trouver des informations sur la machine avant de les expédier à la CIA.
Cependant, le malware utilise une technique particulière pour mener à bien sa mission. L’équipe de VideoLAN travaille donc sur une nouvelle version 2.2.5 qui, quand elle sera disponible, rendra impossible l’activité masquée. La future branche 3.X sera également mise à jour en fonction. Il est recommandé aux utilisateurs de mettre à jour leur lecteur multimédia dès que la mise à jour sera disponible.
Notepad++ corrige un problème équivalent
Notepad++ fait partie de la liste des applications dont la CIA peut se servir pour infecter une machine, si tant est qu’un agent puisse obtenir un accès physique. La technique retenue est la même que pour VLC, avec une DLL remplacée par une version modifiée, ici scilexer.dll.
Sur son site, l’éditeur explique que la nouvelle version 7.3.3, déjà disponible, renforce le contrôle du certificat de la bibliothèque. Si aucun problème n’est détecté, le logiciel se lance. Si le certificat est douteux, il ne se lance pas. Par contre, il précise que si la machine est déjà infectée, installer cette version ne servira sans doute à rien, la CIA ayant déjà la maîtrise de l’ordinateur.
Intel publie des outils de sécurité
Parmi les documents publiés par Wikileaks, certains décrivent comment la CIA parvient à implanter un rootkit dans le firmware de MacBook, là encore avec un accès physique à la machine. En temps normal, l’installation d’un nouveau firmware est en effet pilotée directement via le Mac App Store. Rappelons qu’un rootkit est un logiciel malveillant qui se positionne très tôt dans la chaine de démarrage et reste masqué de la plupart des logiciels de sécurité.
C’est l’Embedded Development Branch de l’agence américaine qui s’est chargée de cette mission. Elle a créé une sorte d’implant baptisé DerStarke agissant sur deux vecteurs : Bokor, un module d’injection de code dans le kernel d’OS X, et DarkMatter, un module chargé d’assurer une persistance dans l’EFI de la machine. Entre les deux, on trouve QuarkMatter, un pilote stocké dans l’EFI chargé de faire le lien.
L’équipe Advanced Threat Research d’Intel vient justement de publier un outil pour son framework open source CHIPSEC pour détecter les faux binaires EFI. Disponible sous Linux, macOS et Windows, il permet via des lignes de commande d’analyser une configuration matérielle, notamment le firmware, dans le cas présent l’EFI.
L’outil n’est pas vraiment à portée du grand public puisqu’il permet par exemple de récupérer une image EFI propre depuis un constructeur, d’extraire son contenu puis de comparer la liste des binaires avec celle présente sur le système. De fait, Intel recommande de générer la fameuse liste blanche après l’achat d’une machine ou quand l’utilisateur est certain que sa machine n’a pas été infectée, afin de s’en servir plus tard comme point de comparaison.
Les outils de la CIA ne sont pas forcément sophistiqués
Certains experts en sécurité sont d’avis que la CIA ne cherche pas nécessairement à être aussi innovante qu’elle le prétend, notamment quand elle rappelle sa mission.
L’agence semble surtout avoir collecté autant de failles de sécurité 0-day qu’elle le pouvait et s’être inspirée de techniques existantes. Par exemple, dans le cas de Weeping Angels pour les Smart TV de Samsung, le chercheur Dan Tentler, également PDG de la société Phobos Group, indique qu’il avait vu cette technique démontrée sur la scène d’une conférence en 2013.
Il pointe cependant que la situation n’est pas surprenante : il est normal que la CIA fasse attention aux techniques présentées afin de s’en inspirer ou de les reprendre en l’état.
Pour d’autres, comme rapportés par Cyberscoop, les malwares utilisés n’ont rien de bien extraordinaire. Certains sont même décrits comme d’un niveau technique assez peu élevé et peuvent être très facilement détectés par des antivirus.
