La nouvelle publication de WikiLeaks sur les techniques de la CIA s'attarde cette fois sur un implant spécifique aux routeurs, CherryBlossom. En 2007, 25 modèles pouvaient voir leur système interne remplacé, parfois même quand un mot de passe fort était défini, à cause de failles exploitées.
Depuis environ deux mois, WikiLeaks publie chaque semaine des documents du lot Vault 7, une précieuse cache renfermant de nombreuses informations sur la manière dont la CIA procède pour pirater certains matériels. C'est particulièrement le cas sous Windows avec de nombreux implants modulables, mais l'agence américaine peut également infecter des téléviseurs connectés Samsung, créer de fausses applications semblant authentiques, ou encore masquer ses traces, jusqu'à créer de faux indices renvoyant vers des agences étrangères de renseignement.
Alors que les précédentes semaines étaient consacrées à Windows et à la manipulation distante de parcs informatiques, WikiLeaks plonge cette fois dans CherryBlossom, qui vise une série de routeurs pour en contrôler le fonctionnement.
S’infiltrer dans les routeurs et les espionner
25 modèles d’une dizaine de constructeurs, dont Belkin, D-Link et Linksys (dont le WRT300N), pouvaient en 2007 être ciblés par l’agence. Cette dernière disposait d’un certain nombre d’outils lui permettant de percer leurs défenses, d’y déposer un implant puis de contrôler le tout à distance.
La CIA avait plusieurs manières de procéder. Si le mot de passe était celui par défaut ou trop faible, les agents n'avaient que peu d’efforts à faire. Dans le cas où il avait été personnalisé, ils pouvaient utiliser un outil nommé Tomato, capable d’extraire les mots de passe, à condition que l’UPnP (Universal Plug & Play) soit activé.
Une fois que la CIA disposait des identifiants, elle pouvait installer son implant en passant par un remplacement du firmware. CherryBlossom est en fait un minuscule système Linux conçu pour fonctionner sur la plupart des routeurs accessibles de cette manière. Du côté de l’agence, le routeur ainsi transformé devenait un « FlyTrap », pilotable depuis un serveur nommé « CherryTree ». Comme on s’en doute, CherryBlossom permettait ensuite de réaliser toute sorte d’action.
L’arbre de transmission
Une fois que CherryBlossom était en place, tout se passait dans les échanges avec le serveur CherryTree. Les informations circulaient alors à double sens. D’un côté, CherryBlossom émettait diverses données sur le statut du routeur, sa configuration et l’état de sa sécurité. De l’autre, le serveur transmettait ses ordres de mission.
Chaque fois qu’une installation réussissait, le serveur envoyait au routeur une « Mission » (avec une majuscule), en d’autres termes une ou plusieurs tâches qu’il aurait à réaliser : récupération des adresses email, des pseudonymes utilisés, mise en proxy de toutes les connexions réseau, installation d’un VPN qui permettra d’espionner le réseau local, redirection du trafic web et ainsi de suite.
Une installation complète de CherryBlossom permettait aux agents de viser des utilisateurs précis sur le réseau local auquel le routeur appartenait. Le ciblage pouvait alors se faire via des adresses IP, MAC ou même des numéros VoIP.
Les transmissions, dans un sens ou dans l’autre, étaient chiffrées et signées numériquement. Seule exception, les données copiées à la volée sur le réseau. La CIA allait jusqu’à faire ressembler certaines requêtes émises par CherryBlossom à des cookies de navigateur.
Le piratage industrialisé
Les documents révélés par WikiLeaks ne sont pas les plus récents, loin de là, puisque ces informations datent de 2007. Les capacités décrites datent donc de dix ans et l’expertise de l’agence s'est probablement renforcée avec le temps. On peut donc estimer qu'au moins une partie de ces informations est encore valable (par exemple la méthode globale), l'agence s'adaptant petit à petit aux nouveautés.
C'est d'ailleurs parce que ces documents sont anciens qu’on se rend mieux compte de la manière dont la CIA avait architecturé sa solution. Il s’agissait clairement d’une chaine complète de gestion, avec un composant client, un autre pour le serveur, des outils de gestion et une interface spécifique pour envoyer les Missions aux implants, via un navigateur nommé… CherryWeb.
Le fait aujourd’hui de pirater un routeur n’a évidemment plus rien d’extraordinaire. On pourrait citer le cas du malware DNSChanger ou celui, plus récent, de Mirai. Ce dernier était à l’origine conçu pour contaminer des caméras connectées, profitant de la faible sécurité de ce type d’appareil. Il avait cependant été repris, puisque son code source était disponible en ligne. Résultat, des centaines de milliers de routeurs avaient été piratés en Allemagne. Et si un malware est capable d'atteindre autant de cibles en quelques jours, on imagine mal la CIA ne pas avoir renforcé son expertise dans ce domaine.
Vers un désarmement forcé des agences américaines ?
La nouvelle publication de WikiLeaks montre encore une fois que la CIA dispose de nombreuses solutions pour s’adapter aux situations. Rappelons cependant qu’elle opère le plus souvent sur des missions spécifiques et qu’il ne s’agit pas ici d’une surveillance de masse. Les informations d’hier soir donnent toutefois un bon aperçu de ce qu’elle est sans doute encore capable de faire aujourd’hui, profitant de failles de sécurité dont le commerce a encore de beaux jours devant lui.
Sans information précise récente, le reste n’est que conjectures. WikiLeaks poursuit en tout cas son objectif de désarmement, en exposant autant que possible les techniques de l’agence. Notez qu’encore une fois, des documents sont publiés, mais ni les binaires, ni même le code source. Le guide d’utilisation de 175 pages est peut-être complet, mais il n’est pas suffisant pour permettre un détournement de ces outils.
Les agences américaines restent dans tous les cas soumises actuellement à une forte pression. Pendant que WikiLeaks dévoile ses informations sur la CIA, les Shadow Brokers s’occupent en effet de la NSA. Rappelons qu’au début du mois, ils ont ouvert leur abonnement mensuel pour recevoir des outils et failles de sécurité censés appartenir à l’agence. La première publication devrait se faire début juillet, posant de nombreuses questions éthiques aux chercheurs.
