La nouvelle publication de WikiLeaks sur les techniques de la CIA s'attarde cette fois sur un implant spécifique aux routeurs, CherryBlossom. En 2007, 25 modèles pouvaient voir leur système interne remplacé, parfois même quand un mot de passe fort était défini, à cause de failles exploitées.
Depuis environ deux mois, WikiLeaks publie chaque semaine des documents du lot Vault 7, une précieuse cache renfermant de nombreuses informations sur la manière dont la CIA procède pour pirater certains matériels. C'est particulièrement le cas sous Windows avec de nombreux implants modulables, mais l'agence américaine peut également infecter des téléviseurs connectés Samsung, créer de fausses applications semblant authentiques, ou encore masquer ses traces, jusqu'à créer de faux indices renvoyant vers des agences étrangères de renseignement.
Alors que les précédentes semaines étaient consacrées à Windows et à la manipulation distante de parcs informatiques, WikiLeaks plonge cette fois dans CherryBlossom, qui vise une série de routeurs pour en contrôler le fonctionnement.
S’infiltrer dans les routeurs et les espionner
25 modèles d’une dizaine de constructeurs, dont Belkin, D-Link et Linksys (dont le WRT300N), pouvaient en 2007 être ciblés par l’agence. Cette dernière disposait d’un certain nombre d’outils lui permettant de percer leurs défenses, d’y déposer un implant puis de contrôler le tout à distance.
La CIA avait plusieurs manières de procéder. Si le mot de passe était celui par défaut ou trop faible, les agents n'avaient que peu d’efforts à faire. Dans le cas où il avait été personnalisé, ils pouvaient utiliser un outil nommé Tomato, capable d’extraire les mots de passe, à condition que l’UPnP (Universal Plug & Play) soit activé.
Une fois que la CIA disposait des identifiants, elle pouvait installer son implant en passant par un remplacement du firmware. CherryBlossom est en fait un minuscule système Linux conçu pour fonctionner sur la plupart des routeurs accessibles de cette manière. Du côté de l’agence, le routeur ainsi transformé devenait un « FlyTrap », pilotable depuis un serveur nommé « CherryTree ». Comme on s’en doute, CherryBlossom permettait ensuite de réaliser toute sorte d’action.
L’arbre de transmission
Une fois que CherryBlossom était en place, tout se passait dans les échanges avec le serveur CherryTree. Les informations circulaient alors à double sens. D’un côté, CherryBlossom émettait diverses données sur le statut du routeur, sa configuration et l’état de sa sécurité. De l’autre, le serveur transmettait ses ordres de mission.
Chaque fois qu’une installation réussissait, le serveur envoyait au routeur une « Mission » (avec une majuscule), en d’autres termes une ou plusieurs tâches qu’il aurait à réaliser : récupération des adresses email, des pseudonymes utilisés, mise en proxy de toutes les connexions réseau, installation d’un VPN qui permettra d’espionner le réseau local, redirection du trafic web et ainsi de suite.
Une installation complète de CherryBlossom permettait aux agents de viser des utilisateurs précis sur le réseau local auquel le routeur appartenait. Le ciblage pouvait alors se faire via des adresses IP, MAC ou même des numéros VoIP.
Les transmissions, dans un sens ou dans l’autre, étaient chiffrées et signées numériquement. Seule exception, les données copiées à la volée sur le réseau. La CIA allait jusqu’à faire ressembler certaines requêtes émises par CherryBlossom à des cookies de navigateur.
Le piratage industrialisé
Les documents révélés par WikiLeaks ne sont pas les plus récents, loin de là, puisque ces informations datent de 2007. Les capacités décrites datent donc de dix ans et l’expertise de l’agence s'est probablement renforcée avec le temps. On peut donc estimer qu'au moins une partie de ces informations est encore valable (par exemple la méthode globale), l'agence s'adaptant petit à petit aux nouveautés.
C'est d'ailleurs parce que ces documents sont anciens qu’on se rend mieux compte de la manière dont la CIA avait architecturé sa solution. Il s’agissait clairement d’une chaine complète de gestion, avec un composant client, un autre pour le serveur, des outils de gestion et une interface spécifique pour envoyer les Missions aux implants, via un navigateur nommé… CherryWeb.
Le fait aujourd’hui de pirater un routeur n’a évidemment plus rien d’extraordinaire. On pourrait citer le cas du malware DNSChanger ou celui, plus récent, de Mirai. Ce dernier était à l’origine conçu pour contaminer des caméras connectées, profitant de la faible sécurité de ce type d’appareil. Il avait cependant été repris, puisque son code source était disponible en ligne. Résultat, des centaines de milliers de routeurs avaient été piratés en Allemagne. Et si un malware est capable d'atteindre autant de cibles en quelques jours, on imagine mal la CIA ne pas avoir renforcé son expertise dans ce domaine.
Vers un désarmement forcé des agences américaines ?
La nouvelle publication de WikiLeaks montre encore une fois que la CIA dispose de nombreuses solutions pour s’adapter aux situations. Rappelons cependant qu’elle opère le plus souvent sur des missions spécifiques et qu’il ne s’agit pas ici d’une surveillance de masse. Les informations d’hier soir donnent toutefois un bon aperçu de ce qu’elle est sans doute encore capable de faire aujourd’hui, profitant de failles de sécurité dont le commerce a encore de beaux jours devant lui.
Sans information précise récente, le reste n’est que conjectures. WikiLeaks poursuit en tout cas son objectif de désarmement, en exposant autant que possible les techniques de l’agence. Notez qu’encore une fois, des documents sont publiés, mais ni les binaires, ni même le code source. Le guide d’utilisation de 175 pages est peut-être complet, mais il n’est pas suffisant pour permettre un détournement de ces outils.
Les agences américaines restent dans tous les cas soumises actuellement à une forte pression. Pendant que WikiLeaks dévoile ses informations sur la CIA, les Shadow Brokers s’occupent en effet de la NSA. Rappelons qu’au début du mois, ils ont ouvert leur abonnement mensuel pour recevoir des outils et failles de sécurité censés appartenir à l’agence. La première publication devrait se faire début juillet, posant de nombreuses questions éthiques aux chercheurs.
Commentaires (10)
#1
“Vers un désarmement forcé des agences américaines ?”
Honnêtement je doute.
Peut-être que face aux pressions publiques et autres leaks, y’aura quelques changements, pour faire plaisir, mais dans le font ça restera la même chose.
Sans parler du fait que tout le monde reste assez d’accord que si les pays (US ou autres) utilisent ces techniques sur des sujets comme le terrorisme (le vrai), ça reste acceptable.
Après c’est difficile de savoir si dans les faits c’est pas utilisé pour d’autres choses (politique étrangère, entreprises (pour faire gagner des marchés), etc), comme on a pu le voir dans le passé (leaks de Snowden entre autre)
A un moment donné le fait de faire du piratage informatique, c’est dans leurs attributions. Si on veut pas que les agences de renseignements placent de backdoor ou ne fassent de hacking, ca va être dûr pour eux de travailler. C’est pas les seules méthodes, mais ça reste assez important. Les backdoors gouvernementales sont une idiotie, mais après le hacking “normal” (même organisé à ce point), on se doute bien que c’est un mal nécessaire…
#2
Au moins qu’il y ait un contre pouvoir, et qu’une faille ne soit exploitée que pendant un certain temps avant d’ètre communiqué…
Car avoir des moyen d’attaque, aux dépends de ses propres protections (je parle au niveau d’un état), c’est au final une solution pas viable.
La vulnérabilité est mondiale. Donc profiter d’une faiblesse, c’est aussi laisser porte ouverte pour tout le reste du monde.
Je serais curieux de savoir comment vends la CIA, le fait qu’elle sait que des routeurs vendus sur les territoires sont des passoires, et que tout état peux du coup espionner en toute quiétude sur les territoire national.
“not my job ?”
#3
On sait aussi qu’ils ont espionné des dirigeants de pays alliés. C’est tout de suite moins glorieux que les terroristes…
#4
Bon… et quand donc Wikileaks va nous dévoiler les pratiques et méthodes des GRU, SVR et autres FSB ?
Et tant qu’on y est de leurs équivalents chinois, allemands, iraniens, français, nord-coréens, britanniques, indiens, etc.
#5
Peut-être quand ces services et pays disposerons d’un budget comparable au USA.
#6
Quand il y aura des infos.
#7
#8
J’entends bien, mais c’est tout de même plus simple avec un gros budget.
Puis nous sommes habitués à suivre avec beaucoup d’intérêt ce qui viens des USA. (Moins pour ce qui vient d’ailleurs). Êtes-vous capables de me dire le nom du président indien (de tête) ?
De plus, il est plus facile d’espionner ce qui est sur son propre territoire.
Les failles dévoilées concernent principalement des produits et services américains.
Et encore, à ma connaissance, nous ne considérons pas les autres pays cités comme la plus «première démocratie du monde».
Donc il serait «idiot» de taper sur Wikilleaks pour des révélations sous prétexte qu’ils n’ont pas des infos sur tous les pays.
#9
lorsqu’ils auront autre chose que des pentium II
marrant cette tentative global, car tu n’est pas le seul, a pointer du doigts les autres en particulier la russie. Ca me rappel une interviews d’hillary ou elle avait mis le mots russe a coté de wikileaks, lol.
le fsb est peut être plus professionnel que la CIA, lorsque tu as le monde entier contre toi, tu dois etre occupé a autre choses que faire joujou avec des routeurs et a faire accuser les autres a ta place.
plus sérieusement c’est une question de budget amha, pour le moment seule les USA peuvent se le payer.
#10
De tête, le PM indien c’est Narendra Modi
" /> (parce que le président on s’en fout)