Vault 7 : WikiLeaks dévoile Pandemic, un implant de la CIA pour serveur Windows

Vault 7 : WikiLeaks dévoile Pandemic, un implant de la CIA pour serveur Windows

Désarmement à marche forcée

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

02/06/2017 5 minutes
13

Vault 7 : WikiLeaks dévoile Pandemic, un implant de la CIA pour serveur Windows

WikiLeaks revient une nouvelle fois avec des informations sur l’arsenal de la CIA. Cette fois, c’est un implant pour serveur, nommé Pandemic, qui est à l’honneur. Il permet ensuite d’infecter des machines dans un réseau et de déclencher de nombreuses actions.

À chaque semaine sa fuite sur la CIA. WikiLeaks continue ainsi sa série de publications « Vault 7 », toutes dédiées aux méthodes et outils de la CIA pour ses opérations d’espionnage. On a pu voir comment l’agence américaine s’y prenait notamment pour infecter des téléviseurs connectés Samsung, des machines Windows via des applications infectées ou des malwares, ou encore comment elle masquait ses traces, voire réorienter les soupçons vers d’autres pays.

Nouvelle semaine, nouvelle publication. On reste globalement dans la thématique de l'infection de machines Windows, mais le vecteur change. Pandemic passe en effet par le piratage d’un serveur et l’installation d’un implant, qui va servir ensuite de relais pour chercher des informations sur des machines du réseau.

Un implant persistant pour serveurs sous Windows

Comme indiqué, Pandemic commence donc par l’infection d’un serveur. La méthode n’est pas précisée, et outre l’éventuelle exploitation d’une faille de sécurité, il est possible qu’il faille un accès physique à la machine. De nombreux outils de la CIA fonctionnent de cette manière.

Une fois l’implant en place, l’agent en charge de l’attaque dispose de nombreuses capacités. L’idée est de repérer des machines intéressantes et de les infecter en passant par de fausses applications. Ici, on peut faire le lien avec des révélations déjà menées il y a plusieurs semaines. On apprenait alors que la CIA détournait des programmes tels que VLC et Notepad++ pour en faire des vecteurs d’infection. Elles avaient d’ailleurs été mises à jour par leurs éditeurs pour que les méthodes utilisées ne soient plus possibles.

Selon les informations de WikiLeaks, le remplacement des applications se fait à la volée pour ne pas éveiller les soupçons. Ainsi, sur le poste visé, l’exécutable du programme est bien le même. Pandemic permet à un maximum de 20 logiciels d’être remplacés de cette manière, l’ensemble ne devant pas peser plus de 800 Mo. On imagine que cette limite permet à l’échange de se faire sans trop de latence.

Une contamination progressive

Pandemic semble s’en prendre en particulier aux machines qui disposent de lecteurs partagés. Chaque application détournée et exécutée a la possibilité de placer l’implant sur la machine cliente, qui peut alors devenir à son tour un vecteur d’infection, donnant alors son nom à ce type d’attaque.

Point intéressant, l’implant se déclare lui-même comme un « File System Minifilter Driver », lui permettant d’agir avec des droits importants. Cependant, cela implique que le pilote en question soit signé par un certificat valide, ou qu’il soit installé en exploitant une faille de sécurité. Le certificat peut très bien avoir été acheté spécifiquement ou volé.

Le chercheur en sécurité Jake Williams, interrogé par Ars Technica, affirme que ce fonctionnement signale probablement que Pandemic a été développé pour des cas très précis, ce qui s’aligne effectivement avec les autres outils dévoilés par WikiLeaks. Les serveurs de fichiers Windows ne sont pas si courants en entreprise, ce qui lui laisse penser que Pandemic vise avant tout de petites structures. Il est également d’avis que les documents fournis par WikiLeaks ne sont pas suffisants en l’état pour utiliser Pandemic, si les fichiers avaient été eux-mêmes fournis.

Vers un désarmement forcé des agences américaines de renseignement

La méthode suivie par l’organisation est très différente de ce qu’on peut voir habituellement sur les fuites, particulièrement celles des Shadow Brokers. WikiLeaks donne en effet suffisamment d’informations pour se faire une idée précise du fonctionnement des outils, mais pas les outils en question.

Dans les deux cas, ces publications régulières aboutissent au même résultat : une invalidation de la capacité offensive de la CIA et de la NSA. Exposer les outils et les failles utilisées les rend en partie inopérants, permettant aux sociétés de sécurité et éditeurs concernés de se mettre au diapason.

Le phénomène risque de beaucoup s’amplifier dans les prochains mois avec l’annonce par les Shadow Brokers d’un abonnement mensuel pour diffuser régulièrement des packs de failles, outils et informations sensibles. Le choc risque d’ailleurs d’être plus important pour la NSA, qui recourt largement aux vulnérabilités pour faire fonctionner ses attaques. 

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un implant persistant pour serveurs sous Windows

Une contamination progressive

Vers un désarmement forcé des agences américaines de renseignement

Commentaires (13)


tous ces disclosures me font me poser une question : quel sera la prochaine génération d’outils de ces agences ?

car il faudrait être naïf pour penser qu’elles vont rester à poil, va y avoir une remise à niveau globale et on va passer à un autre niveau, non ?

m’est avis que les 91% de relache de la NSA va en prendre un coup&nbsp;<img data-src=" />








LordZurp a écrit :



tous ces disclosures me font me poser une question : quel sera la prochaine génération d’outils de ces agences ?







Ils ont de quoi faire avec l’explosion des objets perso connectés 2424, du middleware accessibles à distance (maintenance/telemetrie), de la “cloudification” de l’informatique home/pro, de la transmission sans-fil pour tout et n’importe quoi, …



Y a jamais autant eu de vecteur possible qu’en ce moment, avec le smarphone en vedette quand il s’agit de contaminer tout son environnement: connexion à la voiture (BT), a internet (4G), à ma box adsl (client wifi), au pc portable (point d’accès wifi), au PC fixe (cable USB), …









127.0.0.1 a écrit :



Y a jamais autant eu de vecteur possible qu’en ce moment, avec le smarphone en vedette quand il s’agit de contaminer tout son environnement: connexion à la voiture (BT), a internet (4G), à ma box adsl (client wifi), au pc portable (point d’accès wifi), au PC fixe (cable USB), …





Et même sans aller jusque là, juste contaminer le smartphone (ce qui n’est pas forcément dur, vu le faible taux de mises à jour …) c’est déjà avoir l’outil dont même les plus visionnaires des espions du XXe siècle n’ont jamais rêvé. Un outil capable d’enregistrer l’image, le son, la position, les contacts, tout autour de son porteur, et en quasi permanence vu que le porteur en question ne peut pas s’en séparer.



En lisant l’article, j’ai eu la même interrogation…


En pensant un peu à ces révélations en chaine, aux différentes failles qui sont révélées régulièrement, etc…

Je me demande pourquoi il y en a autant…

Je m’explique:

On parle ici de systèmes informatiques complexes sur lesquels bossent plein d’équipes qui testent, debug, optimisent… Alors pourquoi existe-t’il toujours autant de failles ?



PS: n’y voyez rien de méprisant, mais on est en droit de se poser cette question, non? Je développe moi-même des outils (C, fortran, python) dans le domaine de la science ; la complexité de ceux-ci est donc limitée…


J’avoue j’ai du mal à comprendre ta question, surtout sui tu développes… Tu le dis toi meme, ce sont des systèmes complexes, sur lequqels il y a de nombreux intervenants… Autant de raisons pour qu’il y ait des trous…


A une époque ( mais je suppose que ça n’a pas beaucoup changé) on calculait que statisquement il y a 1 erreur pour 10 lignes de codes dans la vie d’un produit

Le principe était de trouver 90% des erreurs avant de laisser le produit sur le marché. ( l’idée étant que l’erreur réparée au lab ne coute pas grand chose alors que celle trouvée un fois sur le marché coute très cher)

Un OS ou un logiciel se retrouvait donc sur le marché alors qu’on savait très bien qu’il y avait encore 10% de lignes de codes en erreur.

et plus on en trouve plus celles qui restent sont difficiles à trouver.

et les logiciels et OS font des millions de lignes de code

Je connais des endroits ou on travaille toujours de cette façon.


https://fr.wikipedia.org/wiki/Noyau_Linux#Rythme_de_d.C3.A9veloppement

–&gt; 11.5 millions de lignes de code dans le noyau Linux, en 2009. Je n’ai aucune idée de la statistique actuelle et je n’ai pas la possibilité de le vérifier, mais compte-tenu de ce qui est dit plus haut ça donne une idée.

Le noyau Windows doit pas être beaucoup plus simple… Et on ne parle que du noyau, pas des applications.


Y a qu’a regarder Linux … C’est gratuit et open source, il y a des centaines d’équipes qui bossent dessus, des milliers de dev indépendants qui jettent un œil, des tests par milliers et il y a quand même des bugs …



Le problème étant qu’on travail dans un environnement informatique “parfait” (0 ou 1) mais créé et développé par les humains qui sont imparfait par nature.



Imaginons qu’un développeur ait 90% de chance de faire un code sans bug, si tu prends 2 développeurs et que tu additionne leur travail, la probabilité que le code final n’ait pas de bug n’est plus de 90%, elle est plus basse (Je cherche un matheux pour nous donner le résultat exact)



Du coup quand tu as des équipes de milliers de développeurs, la probabilité de bug augmente fortement …


Après les législatives, ce sera bientôt La République en marche forcée à coups d’ordonnances.

HS mais j’avais envie de le dire.


La probabilité tombe à 50% surtout s’ils se prennent une cuite un jeudi soir pour “discuter et résoudre” un problème épineux ! ;-)



Et @anagrys, @JoePike, @Poppu78 et @Nax, merci pour vos commentaires et éclairages.


90% = 0,9 de probabilité sur 1

Pour calculer la proba que 2 événements indépendants se produisent en même temps on multiplie les 2.

0,9*0,9=0,81&nbsp;&nbsp; Donc 81% de chance de code sans bug.



Pour avoir 50% de chance de code sans bug:

on pose ‘x’ le nombre de dev.

0,9^x=0,5 &lt;=&gt; ln(0,9^x)=ln(0,5) &lt;=&gt; x=ln(0,5)/ln(0,9)=6,578813…



Donc il faut environ 6,578813 développeurs pour avoir 50% de chance d’un code sans bug.


<img data-src=" /> Vive Mélanchon ! Vive la Franche inchoumise !!