Un rapport dérobé à la NSA estime que la Russie a essayé de pirater des politiques américains

Un rapport dérobé à la NSA estime que la Russie a essayé de pirater des politiques américains

La source présumée a été arrêtée

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

06/06/2017 7 minutes
22

Un rapport dérobé à la NSA estime que la Russie a essayé de pirater des politiques américains

Selon un document publié par The Intercept, la Russie aurait cherché à pirater plus d'une centaine de personnalités américaines locales, via une campagne de harponnage. Une attaque conçue grâce aux données dérobées à une entreprise spécialisée dans les machines de vote électronique. Une publication qui a mené à l'arrestation de la source.

The Intercept a publié hier un long article au sujet d’un rapport secret de la NSA sur une attaque qui aurait été perpétrée par le GRU, ou General Main Staff Intelligence Directorate. Il s’agit de la plus grosse agence de renseignement étranger de la Russie. Durant la seule année 1997, le GRU pouvait ainsi déployer six fois plus d’agents que le SVR, successeur du KGB. On peut la comparer à une CIA, mais rattachée directement à l’armée russe.

Dans cet article, on apprend qu’une campagne de piratage aurait été menée contre une entreprise américaine bien particulière, VR Systems, qui conçoit des machines de vote électronique et de sondage, aussi bien sur l’aspect matériel que logiciel. Ces informations auraient été transmises à The Intercept par Reality Leigh Winner, une sous-traitante de la NSA. Or, environ une heure après la publication de l’article, on apprenait qu'elle avait déjà été arrêtée.

Un piratage menant à une campagne de harponnage

Les informations de The Intercept proviennent d’un document reçu anonymement. Il s’agit d’un rapport classifié de la NSA sur des attaques ayant eu lieu au cours du dernier trimestre 2016, mais n’ayant été édité qu’en avril dernier.

Dans ce rapport, il est ainsi expliqué que le GRU se serait attaqué à VR Systems. Sept comptes email auraient été visés, et au moins un aurait été compromis. Toujours selon le document, la méthode serait similaire à celle utilisée contre des membres de l’équipe de campagne d’Hilary Clinton, où le renseignement russe était déjà suspecté.

Les informations obtenues auraient ensuite été patiemment analysées pour mettre au point une campagne de harponnage, ou spear phishing. Contrairement à une campagne classique de phishing qui fait appel à des emails relativement génériques, le harponnage est plus précis : les informations servent à personnaliser le message et donc à augmenter les chances de réussite, la victime pouvant penser que l’email s’adresse bien à elle et à personne d’autre.

Des figures politiques locales comme cibles

Cette campagne de harponnage prenait apparemment pour cible 127 personnalités politiques locales selon le rapport de la NSA. Ce dernier mentionne deux vagues d’envoi, dont la première s’est étalée entre le 31 octobre et le 1er novembre 2016.

Dans les emails envoyés, on trouvait notamment un texte personnalisé accompagné d’un document Word. Devait y être expliqué le mode d’emploi du logiciel qui permet de connaître le statut de l’enregistrement des votants. L’objectif était bien entendu de faire croire que les informations étaient tout à fait authentiques et provenaient de VR Systems, ou liées à cette entreprise.

Dans le document se trouvait a priori un code malveillant écrit en VBA (Visual Basic for Applications), autrement dit des macros. Ce dernier était conçu pour se connecter à certains sites et récupérer des malwares en vue de les installer. Malheureusement, les informations s’arrêtent ici.

Le rapport de la NSA précise en effet qu’on ne sait en l’état actuel si ces attaques ont réellement fonctionné, ou même quels sont les malwares téléchargés. On retrouve par contre les liens avant d’anciennes attaques attribuées au GRU. En outre, la présence de malwares semble avoir été établie dans une partie des cas, puisque la NSA prête à au moins l’un d’entre eux la capacité de se faire passer pour Firefox, ou au moins de tenter de le faire.

La source présumée déjà arrêtée par le FBI

Peu de temps après la publication de l’article de The Intercept, un communiqué était publié par le FBI. On peut y lire qu’une certaine Reality Leigh Winner a été arrêtée samedi 3 juin, pour avoir dérobé des informations classifiées. Elle est décrite comme sous-traitante, travaillant pour la société Pluribus International Corporation depuis février 2013. Elle possédait une autorisation de niveau Top Secret.

Toujours selon le communiqué, elle aurait imprimé ces informations le 9 mai, les gardant d’abord pour elle-même. Quelques jours plus tard, elle aurait ensuite communiqué ces documents à un site de presse qui, s’il n’est pas nommé, serait évidemment The Intercept.

Interrogée par The Guardian, la mère de la prévenue indique qu’elle ignore les raisons qui ont poussé sa fille à agir ainsi. Selon le communiqué du FBI, Reality Leigh Winner aurait déjà tout avoué, notamment l’accès aux données, leur impression, leur détention puis leur transfert à un organisme de presse dont elle savait qu’il « n’avait aucune autorisation » de les recevoir. La jeune femme a été entendue une première fois hier dans un tribunal de Géorgie. Elle risque dix ans de prison. La Russie, elle, a formellement démenti être à l'origine de ces attaques.

De The Intercept à la sous-traitante

L’histoire pose la question de la manière dont le FBI s’y est pris pour remonter aussi rapidement à Reality Leigh Winner. En fait, de nombreuses imprimantes apposent sur les documents une série de points jaunes pratiquement invisibles, permettant de savoir quand et où ils ont été imprimés. Malheureusement pour la jeune femme, le PDF publié par The Intercept contenant une version scannée des documents reçus. Ils comportaient donc les marques jaunes.

Dans le cas présent, les points indiquent que le document a été imprimé le 9 mai 2017 à 6h20 par un périphérique dont les numéros de modèle et de série sont respectivement 54 et 29535218. Il est évident que la NSA possède un journal complet de l’utilisation faite de ses imprimantes, et trouver Reality Leigh Winner n’a donc pas été compliqué. Pas plus que de la trouver puisqu’elle était à son domicile, à Augusta.

The Intercept ne s’est pas encore exprimé sur ce point, mais précisait dans son article d’hier que le document avait été reçu de manière anonyme. On s’étonne cependant que le site, cofondé notamment par le même Glenn Greenwald qui avait été le premier à interviewer Edward Snowden, ait pu publier un tel article sans avoir contrôlé le sérieux de sa source.

WikiLeaks veut châtier le journaliste responsable

Si l’on en croit WikiLeaks, la situation est un peu complexe. L’un des journalistes aurait contacté une connaissance travaillant chez un sous-traitant dont le nom n’est pas connu, pour savoir si le document était réel. Il aurait indiqué qu’il provenait d’Augusta en Géorgie. Curieusement, il aurait ensuite contacté une agence fédérale qui lui aurait indiqué que le document était authentique, avant de revenir vers sa connaissance pour lui faire part de cette information.

WikiLeaks cherche actuellement à savoir qui est ce journaliste et offre même 10 000 dollars de récompense pour le démasquer, ce qui a d’ailleurs provoqué la colère de nombreux internautes sur Twitter. 

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un piratage menant à une campagne de harponnage

Des figures politiques locales comme cibles

La source présumée déjà arrêtée par le FBI

De The Intercept à la sous-traitante

WikiLeaks veut châtier le journaliste responsable

Commentaires (22)








Vincent a écrit :



Les informations obtenues auraient ensuite été patiemment analysées pour mettre au point une campagne de harponnage, ou spear phishing.





Hameçonnage pour les petits poissons, harponnage pour les requins… ça me semble raccord <img data-src=" />







l’actu a écrit :



une certaine Reality Leigh Winner…





Nom le moins bien porté du monde, de son point de vue à elle <img data-src=" />







Vincent a écrit :



La Russie, elle, a formellement démenti être à l’origine de ces attaques.





Rien que pour le fun, j’aimerais bien qu’ils disent un jour “oui ! c’était nous depuis le début !” (en mode Dio dans Jojo’s Bizarre Adventure)



Bon sinon, la NSA doit commencer à en avoir ras le bol de ses sous-traitants <img data-src=" />



franchement le traitement de ce leak démontre un amateurisme crasse tant au niveau de la source, qui a priori avait déjà contacté The Intercept depuis son poste de travail (échange sans rapport avec le leak, mais ça démontre une relation), que du journaliste qui a juste complètement doxxé sa source en balançant les documents tels quels sur le net.

résultat double: la source en taule pour des années, et The Intercept qui va avoir le plus grand mal à trouver de nouvelles sources à l’avenir.



Sans compter que les 34 des infos contenues dans l’article sont connues depuis un article du WaPo qui date d’il y a un an.



bref, du gros n’importe quoi.


La source a autant foiré à être anonyme que The Intercept a foiré à protéger l’anonymat de sa source.



Les Metadata et le fingerPrinting c’est tout de même connu, surtout quand on s’appelle “The Intercept”.


A ce niveau là, on se demande où est le selfie avec le document dans les mains…








WereWindle a écrit :



Rien que pour le fun, j’aimerais bien qu’ils disent un jour “oui ! c’était nous depuis le début !”&nbsp;





je crois que c’est tsahal (ou l’unité de la colline chépucombien en Israël) qui n’a jamais rien nié quoi que ce soit, même quand on a su après que c’était pas eux<img data-src=" />&nbsp;



edit : colline 8200 selon des sources contradictoires









tpeg5stan a écrit :



je crois que c’est tsahal (ou l’unité de la colline chépucombien en Israël) qui n’a jamais rien nié quoi que ce soit, même quand on a su après que c’était pas eux<img data-src=" /> 



edit : colline 8200 selon des sources contradictoires





décidément, les services secrets sont pas fiables comme source d’info du public <img data-src=" />

D’un autre côté, les services eux-mêmes ne nient ni ne confirment jamais (en théorie, on les voit, pas on les entend pas… c’est un peu leur cœur de métier)



(mais au moins y a d’la bonne volonté chez ceux-là <img data-src=" /> )





Reality Leigh Winner



Ha ben elle a tout gagné… <img data-src=" />


Le journal a balancé son informatrice ?

Le jounaliste qui a fait ca, si ça s’avere, est une crevure et mérite d’aller en taule a sa place, après s’être fait fouetter bien correctement.


Le journaliste aurait envoyé une copie du document à la NSA pour avoir confirmation qu’il était authentique. Une fois la copie du document entre ses mains, la NSA a très rapidement réduit la liste des suspects aux personnes qui avaient cherché, ouvert et imprimer ce document précisément.


Ils tiennent vraiment à ne pas “assumer” leur responsabilité d’avoir provoqué sa victoire…








hellmut a écrit :



franchement le traitement de ce leak démontre un amateurisme crasse tant au niveau de la source, qui a priori avait déjà contacté The Intercept depuis son poste de travail (échange sans rapport avec le leak, mais ça démontre une relation), que du journaliste qui a juste complètement doxxé sa source en balançant les documents tels quels sur le net.

résultat double: la source en taule pour des années, et The Intercept qui va avoir le plus grand mal à trouver de nouvelles sources à l’avenir.



Sans compter que les 34 des infos contenues dans l’article sont connues depuis un article du WaPo qui date d’il y a un an.



bref, du gros n’importe quoi.









Si ca se trouve c’est une opé de la NSA. Pour encore charger les russes.&nbsp;



C’est assez révélateur de ce qu’est devenu Wikileaks malheureusement, certes le journaliste fait une mega bourde mais c’est même la faute de tous le journal.

Après donner le journaliste en pâture au monde est un bon moyen de détourner les gens du sujet qui est l’implication de la Russie avec beaucoup de preuves.



&nbsp;Finalement wikileaks devient de plus en plus “protecteur” avec la russie …


&gt;Ils comportaient donc les marques jaunes

en scannant en noir et blanc on est bon? <img data-src=" />


vu les infos croustillantes sur les techniques de la NSA dans les docs bruts, ça m’étonnerait.


Est-ce que ce sont les russes eux mêmes qui ont hacké la CIA pour dérober ce document et le divulguer ?



<img data-src=" />


En même temps, l’histoire des points de couleur jaune sur les feuilles imprimées par les machines pro’ ne date pas d’aujourd’hui&nbsp;&nbsp; …

&nbsp;Il n’y a qu’a observer la baisse du niveau de toner jaune dans une imprimante pour s’apercevoir que celui-ci diminue bien plus vite, à capacité égale, que le toner noir qui est à priori bien plus utilisé.



Y’en a qui le savent et d’autres qui ne le savent pas .

Un peu d’information à ce sujet aurait permis de ne pas serrer cette charmante débutante aussi facilement&nbsp;&nbsp; …

<img data-src=" />








Ricard a écrit :



Ha ben elle a tout gagné… <img data-src=" />





Exact !

Y’a des gens qui porte des noms / prénoms prédestinés . &nbsp;&nbsp; <img data-src=" />









127.0.0.1 a écrit :



La source a autant foiré à être anonyme que The Intercept a foiré à protéger l’anonymat de sa source.



Les Metadata et le fingerPrinting c’est tout de même connu, surtout quand on s’appelle “The Intercept”.





Il est évident que le/les journaleux qui ont publié le document ont eu un comportement&nbsp; très léger sur ce coup.

ça ne va pas encourager les fuiteurs-teuses d’une manière générale









hellmut a écrit :



vu les infos croustillantes sur les techniques de la NSA dans les docs bruts, ça m’étonnerait.







Là on parle d’un rapport de la NSA sur des hacks probables de politiciens US par équipes russes. Pas les leaks en cours de diffusion par wikipute de Vault ou ceux via les Shadow Broker.



Pasque bon, comme tu dis, la “source” en cours d’examen mais pas encore en taule, qui imprime le truc à la NSA, se faire gauler à la limite de l’idiotie… c’est super pratique pour sortir un “doc” couvert par le secret en pleine chasse aux sorcières mené par Trump.&nbsp;



y’a tout un tas d’infos sur les techniques de contre-intelligence et d’enquête de la NSA dans ces docs (d’où la classification TI/SI).

c’est certes pas des infos “techniques” ou carrément des outils comme les dumps que tu cites, mais c’est toujours des trucs utiles aux services de renseignement russes pour affiner leurs processus, savoir quels sont les trucs à laisser tomber et où remuer le couteau dans la plaie. de ce point de vue il semble peu probable que ça soit un coup des US pour pouvoir accuser les russes.

Quant à la chasse aux sorcières de Trump, vu l’artiste, elle concerne exclusivement les mecs de son administration qui leakent sur lui. Avant il s’en foutait, y’a pas 6 mois il applaudissait des deux mains les leaks de WL sur Clinton.

ça montre la grande constance du monsieur, qui doit à l’heure actuelle se tortiller devant son 60’ tout neuf en regardant Comey témoigner devant le Congrès.<img data-src=" />


le pire étant que The Intercept (enfin First Look Media, mais c’est le même groupe) a un responsable de la sécu info qui est loin d’être une chèvre: Morgan Marquis-Boire.

visiblement le journaliste de TI a pas suivi les directives en termes d’OPSEC. <img data-src=" />


Je ne connaissais pas le bonhomme, mais il a effectivement un joli pédigrée&nbsp;&nbsp; ..&nbsp;&nbsp; <img data-src=" />