Vault 7 : WikiLeaks dévoile deux techniques de la CIA pour dérober les identifiants SSH

Vault 7 : WikiLeaks dévoile deux techniques de la CIA pour dérober les identifiants SSH

Il ne manque plus que l'assistant

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

07/07/2017 6 minutes
55

Vault 7 : WikiLeaks dévoile deux techniques de la CIA pour dérober les identifiants SSH

WikiLeaks a publié hier soir de nouveaux documents sur la CIA, toujours à travers le projet Vault 7 visant à exposer le cyberarsenal de l’agence américaine. Cette fois, l’organisation dévoile BothanSpy et Gyrfalcon, deux outils conçus pour dérober les identifiants SSH.

Chaque semaine, WikiLeaks publie de nouveaux documents dans la série Vault 7, qui vise à montrer de quoi est capable la CIA quand elle cherche à obtenir des informations. Voitures autonomes, téléviseurs connectés, fausses applications Windows, implants dans les machines clientes ou serveurs, masquage des traces, contamination de routeurs et autres ont ainsi déjà été dévoilés par WikiLeaks, qui continue sur un rythme hebdomadaire son travail de sape.

La publication de cette semaine concerne trois documents portant sur deux outils conçus pour saisir les identifiants SSH (Secure Shell). La CIA est a priori parée pour les machines sous Windows et Linux, probablement pour pouvoir atteindre un maximum de clients (Windows) et de serveurs (Linux).

BothanSpy s’attaque à Windows…

La plupart des outils de la CIA visent Windows, sans doute pour des questions de parts de marché. L’immense majorité des ordinateurs embarque le système de Microsoft et, de la même manière que la plupart des malwares le ciblent, la CIA cherche sans doute à rentabiliser ses investissements.

BothanSpy est donc un implant pour Windows conçu pour dérober des identifiants SSH en s’attaquant au client Xshell, un émulateur de terminal compatible avec SSH, SFTP, TELNET, RLOGIN et SERIAL. Si l’implant arrive à s’activer (sous forme principalement d’une bibliothèque DLL), toutes les sessions SSH en cours peuvent en théorie être atteintes.

La nature des identifiants peut changer, selon le contexte. Dans le cas d’une connexion SSH protégée par mot de passe, BothanSpy récupère ce dernier ainsi que l’identifiant. S’il s’agit d’une infrastructure à clé publique, l’implant capte le fichier ou la clé SSH privée, ainsi que le mot de passe. Dans les deux cas, BothanSpy peut soit exfiltrer les données vers un serveur appartenant à la CIA (sans toucher au disque de stockage), soit au contraire enregistrer les données localement (avec un chiffrement AES) en vue d’une récupération ultérieure.

D’après le document qui le concerne, la version 1.0 de BothanSpy était prête en mars 2015 et était donc assez récente. Puisque aucune autre information n’est fournie, on peut supposer que le travail a continué et que la CIA a mis à jour son outil, notamment pour tenir compte de la sortie de Windows 10.

Il faut noter cependant que ce n’est pas directement le système qui est visé. Le document précise très clairement que BothanSpy ne fonctionne que si le client tiers Xshell est installé, jusqu’à la version 5 actuellement commercialisée. En outre, au moins une connexion SSH doit être active. Ajoutons enfin que le nom même de « BothanSpy » est une référence directe à Star Wars. Le document contient d’ailleurs une célèbre réplique du Retour du Jedi : « Many Bothan spies will die to bring you this information, remember their sacrifice ».

… tandis que Gyrfalcon vise Linux

Gyrfalcon est un autre implant, mais qui vise cette fois le client OpenSSH, que l’on retrouve dans bon nombre de distributions GNU Linux, notamment Debian, Ubuntu, Suse, RHEL ou encore CentOS. Ses capacités d’exfiltration sont plus limitées que l’implant visant Windows, puisqu’il ne peut qu’enregistrer les données localement afin qu’elles soient récupérées plus tard. Gyrfalcon peut faire cependant plus de dégâts.

Tout comme BothanSpy, il peut récupérer les identifiants dans les connexions SSH actives. L’enregistrement des données est là encore chiffré en AES. Mais il peut aussi capter tout ou partie du trafic OpenSSH sur ces mêmes connexions, ce qui le rend plus dangereux, l’implant réalisant le vol d’identifiants et de données dans la foulée. Pour la CIA, il s’agit d’un outil deux en un, puisque les agents impliqués n’auront à revenir plus tard avec les identifiants pour dérober eux-mêmes les informations.

Il semble que l’implant soit l’objet d’un développement conséquent puisque sa version 1.0 est parue, selon les documents, en janvier 2013, tandis qu’une version 2.0 sortait en novembre de la même année. Chaque mouture dispose d’ailleurs de son propre guide d’utilisation.

Dans celui de Gyrfalcon 2.0, on peut lire qu’il est recommandé à l’agent manipulant l’implant de bien connaitre l’environnement Linux/Unix (32 ou 64 bits). Par ailleurs, l’installation de Gyrfalcon nécessite des droits root, bien que l’implant lui-même n’en ait pas besoin ensuite pour fonctionner. Page 6, le manuel indique que l’agent doit connaître aussi le rootkit JQC/KitV, qui le maintiendra à couvert pendant la durée des opérations.

Là encore, rien ne permet d’affirmer que la CIA s’est contentée de deux versions de cet outil. On peut donc encore supposer que le travail a continué et que d’autres versions sont sorties au cours des quatre dernières années.

Une forme de désarmement forcé pour les agences américaines

Que ce soit la CIA avec WikiLeaks, ou la NSA avec les Shadow Brokers, les agences américaines de sécurité et de renseignement sont sous le coup d’une sorte de désarmement. Semaine après semaine, l’exposition des outils, techniques, documents et failles diminue la valeur de leur stock de cyberarmes.

Les deux cas sont cependant différents. La CIA, comme on a pu le voir avec les nombreuses informations publiées par WikiLeaks, dispose de techniques réclamant un accès physique à la machine et moins dépendantes des failles de sécurité que la NSA. Cette dernière, au contraire, possède une importante réserve de vulnérabilités, dont la divulgation peut entraîner de vastes dégâts, comme on a pu le voir avec WannaCry.

Notez que dans les deux cas, aucune agence ne s’est exprimée sur les multiples fuites de ces derniers mois. 

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

BothanSpy s’attaque à Windows…

… tandis que Gyrfalcon vise Linux

Une forme de désarmement forcé pour les agences américaines

Commentaires (55)


C’est dommage que Wikileaks soit d’extrême droite, ils font du bon boulot parfois.


Comment tu le sais?




WikiLeaks dévoile deux techniques de la CIA pour dérober les identifiants SSH





Ouf! Heureusement pou moi, j’utilise RSH et pas SSH.



<img data-src=" />


Au pays où tu peux faire un procès à cause d’un café trop chaud, pourquoi les gros éditeurs ciblés (MS, etc), et les victimes des failles, ne demandent-ils pas des sommes folles comme dédommagement ? La NSA agit comme un pirate, à l’échelle +++.

Je ne saisis vraiment pas les ricains :-p


Rien à voir.

&nbsp;

Wikileaks est juste pour la diffusion totale des informations. Aucune censure, rien.

Quitte parfois à se retrouver en fâcheuse position lorsqu’elle réagit à la censure de personnalité assez dégoutante (cf. Milo Yiannopoulos et Twitter).



Pour eux ce les états ou les entreprises n’ont pas à censurer des contenus, quels qu’ils soit.

Est-ce que la liberté totale d’expression est une bonne idée ou pas, c’est un autre débat.


Malin, personne ne penserait à chercher l’existence d’une connexion RSH&nbsp;<img data-src=" />








yellowiscool a écrit :



C’est dommage que Wikileaks soit d’extrême droite, ils font du bon boulot parfois.





<img data-src=" /> T’es complètement à côté de la plaque mon pauvre ami. Tout le monde sait bien que c’est des pédo-nazi-cannibales-tueursdechatons.<img data-src=" />









127.0.0.1 a écrit :



Ouf! Heureusement pou moi, j’utilise RSH et pas SSH.





Moi j’utilise Telnet. <img data-src=" />



Parce qu’il faut des moyens pour s’attaquer à l’état, tout simplement. D’autant que l’illégalité reste à prouver, et qu’ils sont quand même pas mal branchés sur l’optique “pour contrer le terrorisme on accepte tout et n’importe quoi”.


Ce serait une idée, ça : Faire passer des infos en clair au milieu d’un flux chiffré. Ils s’acharnent sur le flux chiffré qui contient des données random + du texte bateau, et l’info en clair passe comme une lettre carte-postale à la poste.








yellowiscool a écrit :



C’est dommage que Wikileaks soit d’extrême droite, ils font du bon boulot parfois.





Depuis quand ils sont d’extrême droite ? depuis qu’ils ont repris des fuites pour faire du tort au petit macron ?

&nbsp;

&nbsp;



Ricard a écrit :



<img data-src=" /> T’es complètement à côté de la plaque mon pauvre ami. Tout le monde sait bien que c’est des pédo-nazi-cannibales-tueursdechatons.<img data-src=" />





Surtout tueur de chatons , c’est impardonnable !<img data-src=" />



J’aime bien le dernier paragraphe du pdf de BothanSpy. dans Troubleshooting:









CIA a écrit :



I went to destroy the Death Star with the information obtained by BothanSpy, but The Empire’s entire Star Ship fleet warped in, and the shield generators are not down on the Death Star, what gives?:

I told you it would be a trap (Section 3.7), that’s on you.






é. Le document précise très clairement que BothanSpy ne fonctionne que si le client tiers Xshell est installé





Ca c’est pas bien grave…



Je suppose que la CIA finance des études/sociétés qui conseillent d’installer ce merveilleux logiciel.



#complot


Des entreprises font bien des procès aux états :) Redbull vs la france est le premier exemple qui me vient en tête, mais il y en a plein d’autres.








yellowiscool a écrit :



C’est dommage que Wikileaks soit d’extrême droite, ils font du bon boulot parfois.





Si t’as une source qui étaye tes propos, ça m’intéresse.



Il y a ce qu’évoque ErGo_404

&nbsp;

Mais aussi :&nbsp; On ne mord pas la main qui vous nourrit.



N’importe laquelle des boites de ce monde ne crachera jamais sur de l’information valide. Pour la boite cela relève de sa bonne santé, pour l’état hôte de maintenir les boites locales. C’est aussi rendre service à ces citoyens indirectement (emploi etc.).



&nbsp;Ça fait parti du secteur de l’intelligence économique. Tous les pays on un service du genre depuis bien longtemps. Ça permet de choper les indélicats qui saperaient les intérêts du pays en question, favoriser les boites sous son drapeau, bref de la magouille pas légale mais tolérée pour le bien de la nation. Donc encadrée dans un service idoine.



La guerre économique fait rage depuis bien longtemps. Elle fait moins de bruit mais elle fait carrément plus de dégâts.

&nbsp;


Pour les raisons d’une absence de procès, il faut aussi ne pas oublier que la NSA aide aussi des éditeurs à avoir une meilleure sécurité



Il y a juste parfois qu’ils se gardent quelques failles sous le coude


<img data-src=" /> <img data-src=" />


Non, c’est plus ancien que les macron leaks.


Ils ont quand même été pro-trump hein.








yellowiscool a écrit :



La flemme.







Ca donne des titres racoleurs et des articles qui n’ont pas grand chose à voir avec le titre. Rassures moi, tu ne lis pas que les titres ?



<img data-src=" />

N’importe quoi.



Wikileaks diffuse les informations qu’ils ont, ni plus ni moins.



Et bon, le coup de “si t’est pas avec moi t’est contre moi”, la pensée binaire sur fond de pensée maccarthiste, ça va bien 2 minutes. Les lanceurs d’alerte n’ont jamais autant souffert (récemment) au USA que sous l’ère Obama.


et putty ça craint rien ? quoiqu’on s’en fout c’est pour le boulot <img data-src=" />


Par ce que les cible principale ce sont les pays étrangers ?



Si j’étais complotiste et ricaine je crierais sur tout les toit que WikiLeaks est financier par les agences de renseignement des “pays ennemies”.








DUNplus a écrit :



Par ce que les cible principale ce sont les pays étrangers ?



Si j’étais complotiste et ricaine je crierais sur tout les toit que WikiLeaks est financier par les agences de renseignement des “pays ennemies”.





Quand on voit ce que nous font les “pays amis” dans le dos, on devrait peut être plus dialoguer avec nos “ennemis”…









DUNplus a écrit :



Par ce que les cible principale ce sont les pays étrangers ?



Si j’étais complotiste et ricaine je crierais sur tout les toit que WikiLeaks est financier par les agences de renseignement des “pays ennemies”.





Pour les services de renseignement français, Wikileaks est clairement quasiment purement anti-américain et parfois anti-européen (divulgations apportant des troubles sur la France par ex), et bizarrement on ne voit jamais rien sur les russes, les chinois ou plein d’autres.









OlivierJ a écrit :



Pour les services de renseignement français, Wikileaks est clairement quasiment purement anti-américain et parfois anti-européen (divulgations apportant des troubles sur la France par ex), et bizarrement on ne voit jamais rien sur les russes, les chinois ou plein d’autres.







Par ce que tout le monde est déjà au courant de ce qu’ils sont et qu’ils n’essaient pas de se faire passer pour de gentils innocents ?



yellowiscool a écrit :

Ils ont quand même été pro-trump hein.



Là aussi c’était encore dans l’optique de la liberté d’expression.

&nbsp;

Ils ont clairement soutenu Bernie Sanders lors du choix du candidat démocrate. Mais c’est Clinton qui l’a emportée. Celle qui était aux commandes lors de la crise des télégrammes diplomatiques. Cette même crise qui a servi de prétexte pour menacer encore plus les lanceurs d’alerte (déjà que c’était pas folichon).



WikiLeaks n’a donc pas oublié et à préféré se rallier à Trump (même s’il ne l’aime clairement pas).

D’ailleurs le gouvernement Trump pousse désormais pour qu’un mandat d’arrêt soit émis contre Julian Assange.

&nbsp;

&nbsp;

Comme dit TaigaIV, il faut faire attention aux titres racoleurs et à ce qu’on lit. Les idées simples et préconçues on les retiens facilement. En revanche c’est bien plus difficile concernant la vérité, souvent complexe et nuancée.

&nbsp;&nbsp;

http://www.lemonde.fr/pixels/article/2016/10/19/les-ennemis-de-hillary-clinton-s…

(bon ok c’est le monde mais l’auteur ici est Damien Leloup ça passe encore)








Ayak973 a écrit :



Quand on voit ce que nous font les “pays amis” dans le dos, on devrait peut être plus dialoguer avec nos “ennemis”…





Je reviens sur le rôle délétère ces dernières années de Wikileaks.

Un billet récenthttp://aboudjaffar.blog.lemonde.fr/2017/03/23/predateurs/ mais il en a parlé déjà plusieurs fois, c’est un ancien analyste de la DGSE intéressant à suivre (blog et tweeter) :



“[…] Je ne suis certainement pas un défenseur de la transparence totale, et je n’ai cessé de critiquer les fuites irresponsables de Wikileaks et autres faux lanceurs d’alerte. Je crois ainsi, profondément, au nécessaire secret des contacts diplomatiques et au maintien des capacités d’action clandestine pour la défense de l’Etat, de ses intérêts et surtout de ses administrés. Mais je crois également, tout aussi profondément, qu’une presse indépendante est indispensable afin de dénoncer les excès des Etats ou des entreprises et, parfois, contribuer à l’action de la justice. […]”



Il y a d’autres billets où il a développé la question, ainsi que la position des services français vis à vis de la NSA, qui n’est pas tout à fait une ennemie (on a recours à leurs services pour nos militaires et nos otages). Les échanges en services alliés sont subtils, il l’explique très bien, on est à la fois concurrents et alliés.







hurd a écrit :



N’importe quoi.

Wikileaks diffuse les informations qu’ils ont, ni plus ni moins.





Mouais.

Le rôle de Wikileaks ne trompe pas tout le monde.

(cela dit je ne sais pas si on peut les qualifier d’extrême-droite pour autant)









TaigaIV a écrit :



Par ce que tout le monde est déjà au courant de ce qu’ils sont et qu’ils n’essaient pas de se faire passer pour de gentils innocents ?





Tu plaisantes j’imagine.

On sait peu de choses des actions russes et chinoises en proportion (surtout tout ce qui se passe chez eux ou au abords des frontières), alors qu’on sait quasiment tout des américains, depuis toujours. Dans cette démocratie, garder un secret est difficile, et rien que la presse américaine révèle beaucoup de choses, ce qui est impossible en Russie ou en Chine, évidemment.









jb18v a écrit :



et putty ça craint rien ? quoiqu’on s’en fout c’est pour le boulot <img data-src=" />





Alors que presque tous les commentaires sont partis sur les méchants ricains (alors que les britanniques et français font sans doute pareil), j’en reste au fait qu’il faut être root sous Linux pour installer l’espion, et que PuTTY sous Windows n’est pas concerné ; et aussi que les serveurs SSH sous Linux ne sont pas visés.



<img data-src=" /><img data-src=" /> <img data-src=" />



désolé de pas faire du HS, pour une fois <img data-src=" />








OlivierJ a écrit :



Tu plaisantes j’imagine.







Tu imagines mal.







OlivierJ a écrit :



On sait peu de choses des actions russes et chinoises en proportion (surtout tout ce qui se passe chez eux ou au abords des frontières), alors qu’on sait quasiment tout des américains, depuis toujours. Dans cette démocratie, garder un secret est difficile, et rien que la presse américaine révèle beaucoup de choses, ce qui est impossible en Russie ou en Chine, évidemment.







Donc Wikileaks n’a rien révélé et il n’y a pas lieu de jouer les vierges effarouchées. L’occident est tellement libre que personne n’a jamais eu de problème suite à des révélations. Tu n’as pas honte d’écrire des énormités pareil sur la démocratie dans un sujet qui évoque les fuites de Wikileaks ? Tu tombes pile poils dans les gentils innocents dont je parlai. Il faudrait que tu penses à enlever tes oeillère, ou au moins que tu ne qualifies pas de plaisantins ceux qui pense que nos démocraties ont de gros problème, et que l’on ferait bien de les régler si on ne veut pas passer pour des cons quand on s’occupe du fonctionnement du reste du monde.









OlivierJ a écrit :



Alors que presque tous les commentaires sont partis sur les méchants ricains (alors que les britanniques et français font sans doute pareil), j’en reste au fait qu’il faut être root sous Linux pour installer l’espion, et que PuTTY sous Windows n’est pas concerné ; et aussi que les serveurs SSH sous Linux ne sont pas visés.







Rien ne te garantie que ce n’est pas le cas. Pourquoi attaquer un serveur si tu récupères les identifiants sur le client ?









TaigaIV a écrit :



Donc Wikileaks n’a rien révélé et il n’y a pas lieu de jouer les vierges effarouchées. L’occident est tellement libre que personne n’a jamais eu de problème suite à des révélations. Tu n’as pas honte d’écrire des énormités pareil sur la démocratie dans un sujet qui évoque les fuites de Wikileaks ? Tu tombes pile poils dans les gentils innocents dont je parlai. Il faudrait que tu penses à enlever tes oeillère,





Si tu penses qu’un mec qui a bossé 10 ans à la DGSE a des oeillères… Comment dire…









OlivierJ a écrit :



Si tu penses qu’un mec qui a bossé 10 ans à la DGSE a des oeillères… Comment dire…







Cette réponse le prouve.









OlivierJ a écrit :



Pour les services de renseignement français, Wikileaks est clairement quasiment purement anti-américain et parfois anti-européen (divulgations apportant des troubles sur la France par ex), et bizarrement on ne voit jamais rien sur les russes, les chinois ou plein d’autres.





Chut! Tu en dit trop.





TaigaIV a écrit :



Par ce que tout le monde est déjà au courant de ce qu’ils sont et qu’ils n’essaient pas de se faire passer pour de gentils innocents ?





Ben… plus ou moins non?



Le seul truc que Wikileaks apport c’est les détail croustillant.



A moins que tu crois que tout le monde est a telle point naïve qu’ils crois que les services de renseignements n’espion personne ?



Prouve quoi ?








DUNplus a écrit :



Prouve quoi ?







Qu’il a des oeillères.



C’est pas nette vos histoires de œillère…








DUNplus a écrit :



Chut! Tu en dit trop.







Il fait surtout dans le contre feu de piètre qualité.







DUNplus a écrit :



Ben… plus ou moins non?







C’était sarcastique.









DUNplus a écrit :



Le seul truc que Wikileaks apport c’est les détail croustillant.







Mais c’est bien sur.







DUNplus a écrit :



A moins que tu crois que tout le monde est a telle point naïve qu’ils crois que les services de renseignements n’espion personne ?







Wikileaks, ce n’est pas que sur les services de renseignements.



Dommage ! Ceci fait partie des faux arguments dans le monde de la langue de bois. Les articles qui sortent n’ont aucun rapport avec la choucroute.











OlivierJ a écrit :



Si tu penses qu’un mec qui a bossé 10 ans à la DGSE a des oeillères… Comment dire…





T’as bossé a la DGSE ? Tu parles de toi ?



Ce que j’ai du mal à comprendre c’est pourquoi la CIA ne leur envoi pas les Black OPS comme dans les jeux ou les films pour régler le problème en causant un genre “d’accident”. C’est devenu des tarlouzes les espions ricains ?








Ricard a écrit :



Moi j’utilise Telnet. <img data-src=" />





Ahahaha 👍🏼









yellowiscool a écrit :



La flemme.





Désolé, pas convaincu avec si peu.









Norde a écrit :



Rien à voir.

&nbsp;

Wikileaks est juste pour la diffusion totale des informations. Aucune censure, rien.

Quitte parfois à se retrouver en fâcheuse position lorsqu’elle réagit à la censure de personnalité assez dégoutante (cf. Milo Yiannopoulos et Twitter).



Pour eux ce les états ou les entreprises n’ont pas à censurer des contenus, quels qu’ils soit.

Est-ce que la liberté totale d’expression est une bonne idée ou pas, c’est un autre débat.





Si ils étaient moi naif, il comprendraient vite qu’ils servent juste la propagande russe, quand ce n’est celle de l’état islamic.



Le tout sous couvert de liberté totale.

&nbsp;









grosbidule a écrit :



Au pays où tu peux faire un procès à cause d’un café trop chaud, pourquoi les gros éditeurs ciblés (MS, etc), et les victimes des failles, ne demandent-ils pas des sommes folles comme dédommagement ? La NSA agit comme un pirate, à l’échelle +++.

Je ne saisis vraiment pas les ricains :-p





La detention n’est pas blammable, et c’est ne pas a ms, etc… de porter plainte mais aux parties lésé (donc les cibles de ces outils).

La il faut :

-qu’elle le sache

-qu’elle puisse le prouver









Drepanocytose a écrit :



T’as bossé a la DGSE ? Tu parles de toi ?





Mmmh, relis mes commentaires sur cette dépêche.



Xshell… Je ne sais pas quel grand groupe utilise ce soft inconnu, mais ils devraient se sentir visés!








tomcat a écrit :



Depuis quand ils sont d’extrême droite ? depuis qu’ils ont repris des fuites pour faire du tort au petit macron ?

&nbsp;





Depuis le moment où 100% des fuites politique sur Wikileaks profite uniquement à l’extrême droite et/ou les intérêts de poutine.&nbsp;



&nbsphttps://www.mediapart.fr/journal/international/140816/julian-assange-trop-proche…

http://www.arretsurimages.net/articles/2016-08-15/Wikileaks-outil-de-la-russie-M…



2 articles payants avec pour seule source Mediapart <img data-src=" />








NSACloudBackup a écrit :



Ce que j’ai du mal à comprendre c’est pourquoi la CIA ne leur envoi pas les Black OPS comme dans les jeux ou les films pour régler le problème en causant un genre “d’accident”. C’est devenu des tarlouzes les espions ricains ?







Il est pas dans une ambasade le Julien? Je ne sais plus trop, j’ai une memoire en cotton. Si c’est le cas, ils ne feront rien sinon le statut de diplomate et tout ce qui va avec part a la poubelle en meme temps, et je ne suis pas sur que ca les arrange beaucoup. Une bonne immunite diplomatique c’est quand meme super pour faire des trucs louches



Et ? Il faut que je vienne faire la lecture aussi ?!

&nbsp;

Je suis Wikileaks &nbsp;depuis ses premiers pas. D’abord avec un grand intérêt et dans le temps avec pas mal de dégoût.&nbsp;

Ce serait pas mal que les gens aillent chercher les informations par eux-même parfois en plus de lire des articles des sites plutôt neutres (payez, ça fera vivre l’indépendance).