Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Un rapport dérobé à la NSA estime que la Russie a essayé de pirater des politiques américains

La source présumée a été arrêtée
Internet 6 min
Un rapport dérobé à la NSA estime que la Russie a essayé de pirater des politiques américains
Crédits : EFF (licence CC-BY 3.0)

Selon un document publié par The Intercept, la Russie aurait cherché à pirater plus d'une centaine de personnalités américaines locales, via une campagne de harponnage. Une attaque conçue grâce aux données dérobées à une entreprise spécialisée dans les machines de vote électronique. Une publication qui a mené à l'arrestation de la source.

The Intercept a publié hier un long article au sujet d’un rapport secret de la NSA sur une attaque qui aurait été perpétrée par le GRU, ou General Main Staff Intelligence Directorate. Il s’agit de la plus grosse agence de renseignement étranger de la Russie. Durant la seule année 1997, le GRU pouvait ainsi déployer six fois plus d’agents que le SVR, successeur du KGB. On peut la comparer à une CIA, mais rattachée directement à l’armée russe.

Dans cet article, on apprend qu’une campagne de piratage aurait été menée contre une entreprise américaine bien particulière, VR Systems, qui conçoit des machines de vote électronique et de sondage, aussi bien sur l’aspect matériel que logiciel. Ces informations auraient été transmises à The Intercept par Reality Leigh Winner, une sous-traitante de la NSA. Or, environ une heure après la publication de l’article, on apprenait qu'elle avait déjà été arrêtée.

Un piratage menant à une campagne de harponnage

Les informations de The Intercept proviennent d’un document reçu anonymement. Il s’agit d’un rapport classifié de la NSA sur des attaques ayant eu lieu au cours du dernier trimestre 2016, mais n’ayant été édité qu’en avril dernier.

Dans ce rapport, il est ainsi expliqué que le GRU se serait attaqué à VR Systems. Sept comptes email auraient été visés, et au moins un aurait été compromis. Toujours selon le document, la méthode serait similaire à celle utilisée contre des membres de l’équipe de campagne d’Hilary Clinton, où le renseignement russe était déjà suspecté.

Les informations obtenues auraient ensuite été patiemment analysées pour mettre au point une campagne de harponnage, ou spear phishing. Contrairement à une campagne classique de phishing qui fait appel à des emails relativement génériques, le harponnage est plus précis : les informations servent à personnaliser le message et donc à augmenter les chances de réussite, la victime pouvant penser que l’email s’adresse bien à elle et à personne d’autre.

Des figures politiques locales comme cibles

Cette campagne de harponnage prenait apparemment pour cible 127 personnalités politiques locales selon le rapport de la NSA. Ce dernier mentionne deux vagues d’envoi, dont la première s’est étalée entre le 31 octobre et le 1er novembre 2016.

Dans les emails envoyés, on trouvait notamment un texte personnalisé accompagné d’un document Word. Devait y être expliqué le mode d’emploi du logiciel qui permet de connaître le statut de l’enregistrement des votants. L’objectif était bien entendu de faire croire que les informations étaient tout à fait authentiques et provenaient de VR Systems, ou liées à cette entreprise.

Dans le document se trouvait a priori un code malveillant écrit en VBA (Visual Basic for Applications), autrement dit des macros. Ce dernier était conçu pour se connecter à certains sites et récupérer des malwares en vue de les installer. Malheureusement, les informations s’arrêtent ici.

Le rapport de la NSA précise en effet qu’on ne sait en l’état actuel si ces attaques ont réellement fonctionné, ou même quels sont les malwares téléchargés. On retrouve par contre les liens avant d’anciennes attaques attribuées au GRU. En outre, la présence de malwares semble avoir été établie dans une partie des cas, puisque la NSA prête à au moins l’un d’entre eux la capacité de se faire passer pour Firefox, ou au moins de tenter de le faire.

La source présumée déjà arrêtée par le FBI

Peu de temps après la publication de l’article de The Intercept, un communiqué était publié par le FBI. On peut y lire qu’une certaine Reality Leigh Winner a été arrêtée samedi 3 juin, pour avoir dérobé des informations classifiées. Elle est décrite comme sous-traitante, travaillant pour la société Pluribus International Corporation depuis février 2013. Elle possédait une autorisation de niveau Top Secret.

Toujours selon le communiqué, elle aurait imprimé ces informations le 9 mai, les gardant d’abord pour elle-même. Quelques jours plus tard, elle aurait ensuite communiqué ces documents à un site de presse qui, s’il n’est pas nommé, serait évidemment The Intercept.

Interrogée par The Guardian, la mère de la prévenue indique qu’elle ignore les raisons qui ont poussé sa fille à agir ainsi. Selon le communiqué du FBI, Reality Leigh Winner aurait déjà tout avoué, notamment l’accès aux données, leur impression, leur détention puis leur transfert à un organisme de presse dont elle savait qu’il « n’avait aucune autorisation » de les recevoir. La jeune femme a été entendue une première fois hier dans un tribunal de Géorgie. Elle risque dix ans de prison. La Russie, elle, a formellement démenti être à l'origine de ces attaques.

De The Intercept à la sous-traitante

L’histoire pose la question de la manière dont le FBI s’y est pris pour remonter aussi rapidement à Reality Leigh Winner. En fait, de nombreuses imprimantes apposent sur les documents une série de points jaunes pratiquement invisibles, permettant de savoir quand et où ils ont été imprimés. Malheureusement pour la jeune femme, le PDF publié par The Intercept contenant une version scannée des documents reçus. Ils comportaient donc les marques jaunes.

Dans le cas présent, les points indiquent que le document a été imprimé le 9 mai 2017 à 6h20 par un périphérique dont les numéros de modèle et de série sont respectivement 54 et 29535218. Il est évident que la NSA possède un journal complet de l’utilisation faite de ses imprimantes, et trouver Reality Leigh Winner n’a donc pas été compliqué. Pas plus que de la trouver puisqu’elle était à son domicile, à Augusta.

The Intercept ne s’est pas encore exprimé sur ce point, mais précisait dans son article d’hier que le document avait été reçu de manière anonyme. On s’étonne cependant que le site, cofondé notamment par le même Glenn Greenwald qui avait été le premier à interviewer Edward Snowden, ait pu publier un tel article sans avoir contrôlé le sérieux de sa source.

WikiLeaks veut châtier le journaliste responsable

Si l’on en croit WikiLeaks, la situation est un peu complexe. L’un des journalistes aurait contacté une connaissance travaillant chez un sous-traitant dont le nom n’est pas connu, pour savoir si le document était réel. Il aurait indiqué qu’il provenait d’Augusta en Géorgie. Curieusement, il aurait ensuite contacté une agence fédérale qui lui aurait indiqué que le document était authentique, avant de revenir vers sa connaissance pour lui faire part de cette information.

WikiLeaks cherche actuellement à savoir qui est ce journaliste et offre même 10 000 dollars de récompense pour le démasquer, ce qui a d’ailleurs provoqué la colère de nombreux internautes sur Twitter. 

22 commentaires
Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 06/06/17 à 16:05:10

Vincent a écrit :

Les informations obtenues auraient ensuite été patiemment analysées pour mettre au point une campagne de harponnage, ou spear phishing.

Hameçonnage pour les petits poissons, harponnage pour les requins... ça me semble raccord :yes:

l'actu a écrit :

une certaine Reality Leigh Winner...

Nom le moins bien porté du monde, de son point de vue à elle :craint:

Vincent a écrit :

La Russie, elle, a formellement démenti être à l'origine de ces attaques.

Rien que pour le fun, j'aimerais bien qu'ils disent un jour "oui ! c'était nous depuis le début !" (en mode Dio dans Jojo's Bizarre Adventure)

Bon sinon, la NSA doit commencer à en avoir ras le bol de ses sous-traitants :mdr:

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 06/06/17 à 16:13:17

franchement le traitement de ce leak démontre un amateurisme crasse tant au niveau de la source, qui a priori avait déjà contacté The Intercept depuis son poste de travail (échange sans rapport avec le leak, mais ça démontre une relation), que du journaliste qui a juste complètement doxxé sa source en balançant les documents tels quels sur le net.
résultat double: la source en taule pour des années, et The Intercept qui va avoir le plus grand mal à trouver de nouvelles sources à l'avenir.

Sans compter que les 3/4 des infos contenues dans l'article sont connues depuis un article du WaPo qui date d'il y a un an.

bref, du gros n'importe quoi.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 06/06/17 à 16:18:46

La source a autant foiré à être anonyme que The Intercept a foiré à protéger l'anonymat de sa source.

Les Metadata et le fingerPrinting c'est tout de même connu, surtout quand on s'appelle "The Intercept".

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 06/06/17 à 16:22:40

A ce niveau là, on se demande où est le selfie avec le document dans les mains...

Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 06/06/17 à 16:28:48

WereWindle a écrit :

Rien que pour le fun, j'aimerais bien qu'ils disent un jour "oui ! c'était nous depuis le début !" 

je crois que c'est tsahal (ou l'unité de la colline chépucombien en Israël) qui n'a jamais rien nié quoi que ce soit, même quand on a su après que c'était pas eux:mdr: 

edit : colline 8200 selon des sources contradictoires

Édité par tpeg5stan le 06/06/2017 à 16:31
Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 06/06/17 à 16:34:36

tpeg5stan a écrit :

je crois que c'est tsahal (ou l'unité de la colline chépucombien en Israël) qui n'a jamais rien nié quoi que ce soit, même quand on a su après que c'était pas eux:mdr: 

edit : colline 8200 selon des sources contradictoires

décidément, les services secrets sont pas fiables comme source d'info du public :fumer:
D'un autre côté, les services eux-mêmes ne nient ni ne confirment jamais (en théorie, on les voit, pas on les entend pas... c'est un peu leur cœur de métier)

(mais au moins y a d'la bonne volonté chez ceux-là :D )

Édité par WereWindle le 06/06/2017 à 16:36
Avatar de Ricard INpactien
Avatar de RicardRicard- 06/06/17 à 20:34:08

Reality Leigh Winner

Ha ben elle a tout gagné... :D

Avatar de Drepanocytose INpactien
Avatar de DrepanocytoseDrepanocytose- 06/06/17 à 20:42:59

Le journal a balancé son informatrice ?
Le jounaliste qui a fait ca, si ça s'avere, est une crevure et mérite d'aller en taule a sa place, après s'être fait fouetter bien correctement.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 06/06/17 à 22:22:27

Le journaliste aurait envoyé une copie du document à la NSA pour avoir confirmation qu'il était authentique. Une fois la copie du document entre ses mains, la NSA a très rapidement réduit la liste des suspects aux personnes qui avaient cherché, ouvert et imprimer ce document précisément.

Édité par 127.0.0.1 le 06/06/2017 à 22:23
Avatar de anonyme_d5936aeb9c2e640e8acedef7f9923ff4 INpactien

Ils tiennent vraiment à ne pas "assumer" leur responsabilité d'avoir provoqué sa victoire...

Édité par Babac le 06/06/2017 à 22:49
Il n'est plus possible de commenter cette actualité.
Page 1 / 3