WikiLeaks revient une nouvelle fois avec des informations sur l’arsenal de la CIA. Cette fois, c’est un implant pour serveur, nommé Pandemic, qui est à l’honneur. Il permet ensuite d’infecter des machines dans un réseau et de déclencher de nombreuses actions.
À chaque semaine sa fuite sur la CIA. WikiLeaks continue ainsi sa série de publications « Vault 7 », toutes dédiées aux méthodes et outils de la CIA pour ses opérations d’espionnage. On a pu voir comment l’agence américaine s’y prenait notamment pour infecter des téléviseurs connectés Samsung, des machines Windows via des applications infectées ou des malwares, ou encore comment elle masquait ses traces, voire réorienter les soupçons vers d’autres pays.
Nouvelle semaine, nouvelle publication. On reste globalement dans la thématique de l'infection de machines Windows, mais le vecteur change. Pandemic passe en effet par le piratage d’un serveur et l’installation d’un implant, qui va servir ensuite de relais pour chercher des informations sur des machines du réseau.
Un implant persistant pour serveurs sous Windows
Comme indiqué, Pandemic commence donc par l’infection d’un serveur. La méthode n’est pas précisée, et outre l’éventuelle exploitation d’une faille de sécurité, il est possible qu’il faille un accès physique à la machine. De nombreux outils de la CIA fonctionnent de cette manière.
Une fois l’implant en place, l’agent en charge de l’attaque dispose de nombreuses capacités. L’idée est de repérer des machines intéressantes et de les infecter en passant par de fausses applications. Ici, on peut faire le lien avec des révélations déjà menées il y a plusieurs semaines. On apprenait alors que la CIA détournait des programmes tels que VLC et Notepad++ pour en faire des vecteurs d’infection. Elles avaient d’ailleurs été mises à jour par leurs éditeurs pour que les méthodes utilisées ne soient plus possibles.
Selon les informations de WikiLeaks, le remplacement des applications se fait à la volée pour ne pas éveiller les soupçons. Ainsi, sur le poste visé, l’exécutable du programme est bien le même. Pandemic permet à un maximum de 20 logiciels d’être remplacés de cette manière, l’ensemble ne devant pas peser plus de 800 Mo. On imagine que cette limite permet à l’échange de se faire sans trop de latence.
Une contamination progressive
Pandemic semble s’en prendre en particulier aux machines qui disposent de lecteurs partagés. Chaque application détournée et exécutée a la possibilité de placer l’implant sur la machine cliente, qui peut alors devenir à son tour un vecteur d’infection, donnant alors son nom à ce type d’attaque.
Point intéressant, l’implant se déclare lui-même comme un « File System Minifilter Driver », lui permettant d’agir avec des droits importants. Cependant, cela implique que le pilote en question soit signé par un certificat valide, ou qu’il soit installé en exploitant une faille de sécurité. Le certificat peut très bien avoir été acheté spécifiquement ou volé.
Le chercheur en sécurité Jake Williams, interrogé par Ars Technica, affirme que ce fonctionnement signale probablement que Pandemic a été développé pour des cas très précis, ce qui s’aligne effectivement avec les autres outils dévoilés par WikiLeaks. Les serveurs de fichiers Windows ne sont pas si courants en entreprise, ce qui lui laisse penser que Pandemic vise avant tout de petites structures. Il est également d’avis que les documents fournis par WikiLeaks ne sont pas suffisants en l’état pour utiliser Pandemic, si les fichiers avaient été eux-mêmes fournis.
Vers un désarmement forcé des agences américaines de renseignement
La méthode suivie par l’organisation est très différente de ce qu’on peut voir habituellement sur les fuites, particulièrement celles des Shadow Brokers. WikiLeaks donne en effet suffisamment d’informations pour se faire une idée précise du fonctionnement des outils, mais pas les outils en question.
Dans les deux cas, ces publications régulières aboutissent au même résultat : une invalidation de la capacité offensive de la CIA et de la NSA. Exposer les outils et les failles utilisées les rend en partie inopérants, permettant aux sociétés de sécurité et éditeurs concernés de se mettre au diapason.
Le phénomène risque de beaucoup s’amplifier dans les prochains mois avec l’annonce par les Shadow Brokers d’un abonnement mensuel pour diffuser régulièrement des packs de failles, outils et informations sensibles. Le choc risque d’ailleurs d’être plus important pour la NSA, qui recourt largement aux vulnérabilités pour faire fonctionner ses attaques.
