Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Vault 7 : WikiLeaks dévoile deux techniques de la CIA pour dérober les identifiants SSH

Il ne manque plus que l'assistant
Internet 5 min
Vault 7 : WikiLeaks dévoile deux techniques de la CIA pour dérober les identifiants SSH
Crédits : gmutlu/iStock

WikiLeaks a publié hier soir de nouveaux documents sur la CIA, toujours à travers le projet Vault 7 visant à exposer le cyberarsenal de l’agence américaine. Cette fois, l’organisation dévoile BothanSpy et Gyrfalcon, deux outils conçus pour dérober les identifiants SSH.

Chaque semaine, WikiLeaks publie de nouveaux documents dans la série Vault 7, qui vise à montrer de quoi est capable la CIA quand elle cherche à obtenir des informations. Voitures autonomes, téléviseurs connectés, fausses applications Windows, implants dans les machines clientes ou serveurs, masquage des traces, contamination de routeurs et autres ont ainsi déjà été dévoilés par WikiLeaks, qui continue sur un rythme hebdomadaire son travail de sape.

La publication de cette semaine concerne trois documents portant sur deux outils conçus pour saisir les identifiants SSH (Secure Shell). La CIA est a priori parée pour les machines sous Windows et Linux, probablement pour pouvoir atteindre un maximum de clients (Windows) et de serveurs (Linux).

BothanSpy s’attaque à Windows…

La plupart des outils de la CIA visent Windows, sans doute pour des questions de parts de marché. L’immense majorité des ordinateurs embarque le système de Microsoft et, de la même manière que la plupart des malwares le ciblent, la CIA cherche sans doute à rentabiliser ses investissements.

BothanSpy est donc un implant pour Windows conçu pour dérober des identifiants SSH en s’attaquant au client Xshell, un émulateur de terminal compatible avec SSH, SFTP, TELNET, RLOGIN et SERIAL. Si l’implant arrive à s’activer (sous forme principalement d’une bibliothèque DLL), toutes les sessions SSH en cours peuvent en théorie être atteintes.

La nature des identifiants peut changer, selon le contexte. Dans le cas d’une connexion SSH protégée par mot de passe, BothanSpy récupère ce dernier ainsi que l’identifiant. S’il s’agit d’une infrastructure à clé publique, l’implant capte le fichier ou la clé SSH privée, ainsi que le mot de passe. Dans les deux cas, BothanSpy peut soit exfiltrer les données vers un serveur appartenant à la CIA (sans toucher au disque de stockage), soit au contraire enregistrer les données localement (avec un chiffrement AES) en vue d’une récupération ultérieure.

D’après le document qui le concerne, la version 1.0 de BothanSpy était prête en mars 2015 et était donc assez récente. Puisque aucune autre information n’est fournie, on peut supposer que le travail a continué et que la CIA a mis à jour son outil, notamment pour tenir compte de la sortie de Windows 10.

Il faut noter cependant que ce n’est pas directement le système qui est visé. Le document précise très clairement que BothanSpy ne fonctionne que si le client tiers Xshell est installé, jusqu’à la version 5 actuellement commercialisée. En outre, au moins une connexion SSH doit être active. Ajoutons enfin que le nom même de « BothanSpy » est une référence directe à Star Wars. Le document contient d’ailleurs une célèbre réplique du Retour du Jedi : « Many Bothan spies will die to bring you this information, remember their sacrifice ».

… tandis que Gyrfalcon vise Linux

Gyrfalcon est un autre implant, mais qui vise cette fois le client OpenSSH, que l’on retrouve dans bon nombre de distributions GNU Linux, notamment Debian, Ubuntu, Suse, RHEL ou encore CentOS. Ses capacités d’exfiltration sont plus limitées que l’implant visant Windows, puisqu’il ne peut qu’enregistrer les données localement afin qu’elles soient récupérées plus tard. Gyrfalcon peut faire cependant plus de dégâts.

Tout comme BothanSpy, il peut récupérer les identifiants dans les connexions SSH actives. L’enregistrement des données est là encore chiffré en AES. Mais il peut aussi capter tout ou partie du trafic OpenSSH sur ces mêmes connexions, ce qui le rend plus dangereux, l’implant réalisant le vol d’identifiants et de données dans la foulée. Pour la CIA, il s’agit d’un outil deux en un, puisque les agents impliqués n’auront à revenir plus tard avec les identifiants pour dérober eux-mêmes les informations.

Il semble que l’implant soit l’objet d’un développement conséquent puisque sa version 1.0 est parue, selon les documents, en janvier 2013, tandis qu’une version 2.0 sortait en novembre de la même année. Chaque mouture dispose d’ailleurs de son propre guide d’utilisation.

Dans celui de Gyrfalcon 2.0, on peut lire qu’il est recommandé à l’agent manipulant l’implant de bien connaitre l’environnement Linux/Unix (32 ou 64 bits). Par ailleurs, l’installation de Gyrfalcon nécessite des droits root, bien que l’implant lui-même n’en ait pas besoin ensuite pour fonctionner. Page 6, le manuel indique que l’agent doit connaître aussi le rootkit JQC/KitV, qui le maintiendra à couvert pendant la durée des opérations.

Là encore, rien ne permet d’affirmer que la CIA s’est contentée de deux versions de cet outil. On peut donc encore supposer que le travail a continué et que d’autres versions sont sorties au cours des quatre dernières années.

Une forme de désarmement forcé pour les agences américaines

Que ce soit la CIA avec WikiLeaks, ou la NSA avec les Shadow Brokers, les agences américaines de sécurité et de renseignement sont sous le coup d’une sorte de désarmement. Semaine après semaine, l’exposition des outils, techniques, documents et failles diminue la valeur de leur stock de cyberarmes.

Les deux cas sont cependant différents. La CIA, comme on a pu le voir avec les nombreuses informations publiées par WikiLeaks, dispose de techniques réclamant un accès physique à la machine et moins dépendantes des failles de sécurité que la NSA. Cette dernière, au contraire, possède une importante réserve de vulnérabilités, dont la divulgation peut entraîner de vastes dégâts, comme on a pu le voir avec WannaCry.

Notez que dans les deux cas, aucune agence ne s’est exprimée sur les multiples fuites de ces derniers mois. 

55 commentaires
Avatar de bfaa23dd INpactien
Avatar de bfaa23ddbfaa23dd- 07/07/17 à 10:34:18

C'est dommage que Wikileaks soit d'extrême droite, ils font du bon boulot parfois.

Avatar de trOmAtism INpactien
Avatar de trOmAtismtrOmAtism- 07/07/17 à 10:53:31

Comment tu le sais?

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 07/07/17 à 10:57:26

WikiLeaks dévoile deux techniques de la CIA pour dérober les identifiants SSH

Ouf! Heureusement pou moi, j'utilise RSH et pas SSH.

:D

Avatar de grsbdl INpactien
Avatar de grsbdlgrsbdl- 07/07/17 à 10:59:26

Au pays où tu peux faire un procès à cause d'un café trop chaud, pourquoi les gros éditeurs ciblés (MS, etc), et les victimes des failles, ne demandent-ils pas des sommes folles comme dédommagement ? La NSA agit comme un pirate, à l'échelle +++.
Je ne saisis vraiment pas les ricains :-p

Avatar de Norde Abonné
Avatar de NordeNorde- 07/07/17 à 10:59:44

Rien à voir.
 
Wikileaks est juste pour la diffusion totale des informations. Aucune censure, rien.
Quitte parfois à se retrouver en fâcheuse position lorsqu'elle réagit à la censure de personnalité assez dégoutante (cf. Milo Yiannopoulos et Twitter).

Pour eux ce les états ou les entreprises n'ont pas à censurer des contenus, quels qu'ils soit.
Est-ce que la liberté totale d'expression est une bonne idée ou pas, c'est un autre débat.

Avatar de Norde Abonné
Avatar de NordeNorde- 07/07/17 à 11:01:24

Malin, personne ne penserait à chercher l'existence d'une connexion RSH :francais:

Édité par Norde le 07/07/2017 à 11:01
Avatar de Ricard INpactien
Avatar de RicardRicard- 07/07/17 à 11:20:22

yellowiscool a écrit :

C'est dommage que Wikileaks soit d'extrême droite, ils font du bon boulot parfois.

:roll: T'es complètement à côté de la plaque mon pauvre ami. Tout le monde sait bien que c'est des pédo-nazi-cannibales-tueursdechatons.:ouioui:

Avatar de Ricard INpactien
Avatar de RicardRicard- 07/07/17 à 11:21:39

127.0.0.1 a écrit :

Ouf! Heureusement pou moi, j'utilise RSH et pas SSH.

Moi j'utilise Telnet. :8

Avatar de ErGo_404 Abonné
Avatar de ErGo_404ErGo_404- 07/07/17 à 11:32:14

Parce qu'il faut des moyens pour s'attaquer à l'état, tout simplement. D'autant que l'illégalité reste à prouver, et qu'ils sont quand même pas mal branchés sur l'optique "pour contrer le terrorisme on accepte tout et n'importe quoi".

Avatar de Salamandar Abonné
Avatar de SalamandarSalamandar- 07/07/17 à 11:36:50

Ce serait une idée, ça : Faire passer des infos en clair au milieu d'un flux chiffré. Ils s'acharnent sur le flux chiffré qui contient des données random + du texte bateau, et l'info en clair passe comme une lettre carte-postale à la poste.

Il n'est plus possible de commenter cette actualité.
Page 1 / 6