Les derniers documents de la série Vault 7 publiés par WikiLeaks montrent comment la CIA peut être amenée à devoir éteindre des caméras connectées, en fonction de ses missions. La technique passe par une clé USB contenant un malware pour Windows, nécessitant donc une intervention physique.
Tout le monde a déjà vu au moins un film dans lequel un agent, un héros ou un méchant s’attaque à un système informatique, en vue de désactiver des caméras de sécurité. Généralement précédée d’une réplique dont les scénaristes aiment abuser (« Je suis dans le système ! »), la technique permet ensuite de s’introduire dans un lieu où l'on n'est pas censé être.
Si certains spectateurs se posaient la question, ces techniques existent bel et bien, tout du moins à la CIA. C’est ce que révèlent les derniers documents publiés par WikiLeaks dans la série Vault 7 consacrée aux stratégies et outils de l’agence américaine.
Un éléphant ça trompe énormément
Ce dernier lâcher de documents porte le nom de Dumbo. Ils désignent une technique autant qu’un outil, permettant à la CIA de désactiver des caméras de sécurité pour intervenir sur un site où d’autres opérations nécessitent que ces yeux ne soient plus opérationnels. Il est censé pouvoir fonctionner sur toutes les versions de Windows, à l’exception des versions antérieures à Windows XP et de la mouture 64 bits de ce dernier.
Dumbo, puisque c’est son nom, permet donc à un agent de couper ces caméras à condition qu’elles soient gérées par une ou plusieurs machines sous Windows. L’outil est présent sur une clé USB qui nécessite donc d’être branchée sur site, avec un accès physique à l’ordinateur ciblé.
Une fois en place, Dumbo agit comme un malware et cherche le parc de caméras. Il peut dès lors désactiver les interfaces réseau, couper tous les microphones, suspendre tous les processus liés à l’enregistrement vidéo ou même s’attaquer directement aux sauvegardes, qu’il peut effacer ou « simplement » corrompre pour les rendre illisibles. Le type de connexion n’est pas important, puisque Dumbo gère aussi bien Ethernet que le Wi-Fi, tout comme le Bluetooth.
Cependant, les documents font état de deux limitations. La première est qu’en plus d’un accès physique, l’agent responsable de l’opération doit veiller à ce que la clé USB reste branchée pendant toute la durée de l’intervention. Il doit donc passer par un modèle particulièrement discret ou s’arranger pour rester présent dans la pièce. L’autre souci éventuel est que Dumbo nécessite d’avoir les privilèges maximaux pour fonctionner.
Dumbo émane d’une section particulière de la CIA nommée Physical Access Group, ou PAG. Comme son nom l’indique, il s’occupe exclusivement d’outils requérant un accès physique aux machines. Leurs capacités sont souvent plus évoluées, mais ils permettant surtout de s’attaquer à des systèmes qui ne sont pas accessibles par le réseau, en particulier ceux dédiés à la sécurité.
Un outil lié aux autres
Nos lecteurs ayant suivi la longue série de documents Vault 7 se souviendront peut-être qu’une bonne partie des techniques de la CIA exposées par WikiLeaks réclament un accès physique à une ou plusieurs machines.
De fait, Dumbo est un peu le chainon manquant : puisqu’il permet de couper les caméras de sécurité, il facilite les interventions sur site. On se souvient par exemple de l’outil permettant d’implanter des malwares sur des serveurs Windows ou Linux, ou encore de celui taillé pour contaminer des téléviseurs connectés Samsung. Sans caméras, ces opérations sont d’autant plus simples, surtout quand il s’agit de brancher une « simple » clé USB.
En outre, il semble davantage évident que les révélations précédentes que la CIA continue d’investir dans Dumbo. Dans les documents publiés, on trouve ainsi une référence à la version 3.0 de l’outil, publiée en juillet 2015. Ce ne sont toutefois que des suppositions, comme pour les précédents articles.
À l’instar de la NSA et des diffusions de masse par les pirates Shadow Brokers, on continue d’assister à une certaine forme de désarmement forcé d’une agence américaine. La situation est cependant différente pour la CIA, puisque les informations révélées ne font pas état de failles exploitables. Il ne s’agit donc pas simplement de colmater des brèches pour améliorer la sécurité générale. En outre, les opérations de la CIA sont très différentes de celles de la NSA. Ainsi, là où cette dernière dispose d’outils de surveillance de masse (de type PRISM), l’autre intervient de manière beaucoup plus ciblée.
