Wikileaks revient à la charge avec son vaste dossier Vault 7. L’organisation vient de publier une nouvelle flopée de fichiers, cette fois du code source pour un outil nommé Marble. Son objectif ? Masquer la provenance des attaques provenant de la CIA, voire les maquiller.
Il y a quelques semaines, Wikileaks faisait à nouveau parler de lui. Le site venait de publier une première série de documents, baptisés Vault 7. Ils concernent tous les activités d’espionnage de la CIA, le plus souvent à travers des techniques de piratage, via l’exploitation de failles, l’utilisation de fausses applications, etc.
Nombreuses critiques autour des premières révélations
L’organisation n’a pas fait que des heureux. Son activité a été remise en cause, beaucoup se demandant finalement à qui elle souhaitait rendre service avec de telles informations. Autre critique, la révélation de plusieurs dizaines de failles de sécurité sans avoir averti précédemment les entreprises concernées. Une pratique qu’elles goutent assez peu, puisqu’elle déclenche une course contre la montre : correction d’une faille contre son exploitation par d’éventuels pirates. La plupart avaient cependant indiqué que bon nombre de vulnérabilités étaient anciennes et déjà colmatées.
Wikileaks était depuis une semaine presque en « pause ». Digérant manifestement les retours qui lui étaient faits, l’organisation a fini par indiquer qu’elle travaillerait avec les entreprises si elles en faisaient la demande. On a en fait appris qu’elle les avait contactées directement pour leur proposer l’envoi confidentiel de données, mais en échange de certaines conditions. On ne sait pas depuis ce qui a été décidé. Seul Apple a réagi, surtout pour préciser qu’elle n’appréciait guère ce genre de méthode.
Marble, l'outil de la CIA pour couvrir ses traces
Après les révélations sur Dark Matter, largement centrées sur les MacBook et iPhone, Wikileaks remet donc le couvert avec Marble. 676 nouveaux fichiers ont été publiés. Cette fois-ci, pas vraiment de documentations ou de « manuel du parfait pirate », mais du code source. Marble est en effet un framework, autrement dit un type de trousse à outils visant à s’adapter à diverses situations. La ligne directrice est cependant claire : masquer les traces, voire envoyer sur de fausses pistes.
Marble est en effet chargé de cacher par obscurcissement tout ce qui pourrait impliquer la CIA. C’est notamment le cas de tous les éléments de langage « anglais américain » qui rendraient l’identification du code un peu trop évidente. Mais Marble, chargé globalement d’appliquer des techniques pouvant ralentir, voire stopper les enquêtes, va plus loin.
Le framework peut ainsi remplacer des éléments de texte par d’autres, et globalement maquiller le code source d’un malware – par exemple – pour le faire apparaître comme provenant d’un autre pays. Le code source fourni par Wikileaks contient des exemples en chinois, russe, coréen, arabe et farsi (parlé en Iran).
La description de Marble est intimement liée aux premiers éléments de Vault 7 fournis par Wikileaks. Certains passages explicatifs indiquaient en effet que la CIA était en capacité de se faire passer pour des pirates provenant d’un autre pays, voire d’une agence. Par ailleurs, Marble n’a rien d’un ancien projet. Toujours selon Wikileaks, la version 1.0 n’est apparue qu’en 2015 et des signes montrent que le logiciel était activement utilisé l’année dernière.
Le spectre d'une reprise des enquêtes sous un nouveau jour
Wikileaks fournit le code source pour des raisons simples. Outre le fait que l’organisation le peut, elle veut permettre aux personnes intéressées de réexaminer d’anciennes attaques à travers ce nouveau prisme. Comment ? Via deux éléments : un « deobfuscator » chargé d’annuler les opérations d’obscurcissement réalisées sur un code, et les techniques révélées par le code source. Ensemble, ils permettent de bâtir un modèle et donc de chercher des traces.
L’organisation a donc l’espoir que certaines enquêtes pourraient aboutir à des conclusions très différentes. Certains malwares utilisés et attribués à tort à d’autres acteurs pourraient ainsi se révéler comme des produits de l’agence américaine, ce qui ne manquerait pas de soulever un nouveau vent de scandale. Le code source de Marble pourrait représenter un vrai problème pour la CIA, bien plus finalement que les révélations qui avaient été faites jusqu’à présent.
On notera que la publication de Wikileaks est volontairement incomplète. Les sources sont bien présentes, mais l’organisation n’a pas fourni les exécutables. L’immense majorité des fichiers concerne quoi qu’il en soit du code conçu pour Windows, certains éléments étant fournis avec les fichiers de projets pour Visual Studio. Ils peuvent d’ailleurs s’ouvrir facilement avec la version Code de l’environnement de développement.
