Vault 8 : WikiLeaks s’attaque aux infrastructures serveurs de la CIA

Après les publications Vault 7 sur les outils de la CIA, WikiLeaks présente Vault 8. Le Project Hive ouvre le bal avec une infrastructure serveur pensée pour gérer des flottes entières de malwares, avec de multiples protections visant à masquer la présence de l’agence américaine.

En très grande majorité, les publications estampillées « Vault 7 » chez WikiLeaks se concentraient sur des implantations de malwares « côté client ». Ce qui se traduisait par des contacts physiques avec la machine, aboutissant à l’installation d’un agent logiciel capable de remplir les objectifs fixés par la CIA, le plus souvent le vol de données.

Ordinateurs, téléphones mobiles, routeurs, caméras connectées, Smart TV étaient concernés par les outils et procédures de la CIA, qui possède également de quoi couvrir ses traces. L’agence d’espionnage semble être en possession d’un très grand nombre d’outils capables de s‘adapter à presque toutes les situations. La plupart des renseignements fournis par WikiLeaks dataient de plusieurs années, mais rien n’indiquait que la CIA en avait arrêté le développement.

Contrairement à toutes les informations fournies avec Vault 7, celles de Vault 8 passent de l’autre côté du miroir. Project Hive, premier à faire les frais des nouvelles indiscrétions de WikiLeaks, se concentre ainsi sur le contrôle distant des malwares.

Une plateforme de gestion des malwares

Même si la plupart des implants préparés par la CIA requièrent un accès physique à la machine, ils avaient tous la capacité de communiquer avec un serveur de contrôle. Dans la majorité des cas, les documents de Wikileaks montraient comment un agent opérateur de la CIA ordonnait diverses tâches, notamment la récupération d’informations et l’autodestruction.

Project Hive est l’infrastructure de contrôle de ces malwares, tout du moins d’une partie d’entre eux. WikiLeaks en fournit le code source et les journaux de développement. Nul doute que beaucoup vont se pencher sur ses méandres pour en délimiter les capacités exploitables.

La documentation fournie explique très clairement le fonctionnement de Project Hive. Il permet la mise en place d’un serveur C&C (Control & Command), accompagné d’un ensemble de contre-mesures protégeant le ou les agents de la CIA. Project Hive a deux objectifs : assurer le relais des implants actifs jusqu’au stockage des informations dans des bases de données, et masquer la présence de l’agence, en empêchant toute attribution de l’adresse IP.

Du serveur privé virtuel à la base de données

La stratégie de la CIA passe par plusieurs étapes successives. Les implants vont d'abord se connecter à des serveurs privés virtuels assurant le rôle de portes d'entrées. Ils agissent comme autant de filtres. Via une authentification spécifique, les malwares sont autorisés à passer. Un internaute avec un navigateur ne verrait qu'un site web classique.

Une fois son identité confirmée, le malware accède à un serveur mandataire nommé Blot. Tel que décrit par les documents, Blot est le pivot de l'infrastructure : il dirige le malware vers les serveurs de la CIA (via Honeycomb) via une connexion sécurisée, tout servant de faux sites aux éventuels intrus, comme indiqué dans le diagramme ci-dessous :

Ce n'est qu'une fois arrivé jusqu'à Honeycomb que le malware pourra déverser ce qu'il a à transmettre dans la base de données de la CIA. On remarquera d'ailleurs sur le diagramme que cette voie est à sens unique : Project Hive n'aboutit qu'à un stockage d'informations. Leur exploitation fera peut-être l'objet d'une prochaine publication de WikiLeaks.

Et ce n’est pas tout. Les malwares sont signés par de faux certificats soi-disant émis par Thawte Premium Server CA, une entreprise basée à Cape Town, pour le compte de Kaspersky. Deux structures bien réelles, pour des certificats (évidemment révoqués) falsifiés, ce que Kaspersky a confirmé. Les contrôles basés sur les signatures numériques, comme ceux trouvés dans Windows (hors antivirus et analyse comportementale), pouvaient donc laisser les portes ouvertes.

La question du code source

Vault 8 représente une double cassure dans les publications de WikiLeaks. D’abord parce ces informations s’attaquent à ce qui se passe côté CIA, ensuite parce que l’organisation fournit le code source. Jamais auparavant elle n’avait fourni de données exploitables allant plus loin que la documentation et les manuels d’utilisation, déjà riches d’enseignements. Elle n’a également donné aucune précision sur d’éventuelles failles de sécurité exploitables, sauf aux entreprises concernées (notamment Cisco et Fortinet).

Quel est le risque lié à une telle publication ? Difficile à dire dans l’absolu. Officiellement, WikiLeaks précise dans son communiqué que ce code servira aux journalistes et chercheurs en sécurité qui en tireront alors ce qu’ils voudront. Volonté affichée, aider à mieux comprendre de quoi est capable la CIA. Et si code était utilisé pour des objectifs moins nobles ?

Ancien employé de la NSA et chercheur chez Rendition InfoSec, Jake Williams a donné son avis à Motherboard. Selon lui, le code de Project Hive ne semble pas dangereux. Il devrait effectivement permettre de mieux cerner les capacités de la CIA, tout en obligeant celle-ci à mener des travaux pour colmater les éventuels problèmes, puisqu’elle se retrouve exposée.

La situation serait évidemment tout autre si WikiLeaks devait publier un jour des informations plus complètes sur les malwares eux-mêmes. En tant qu’infrastructure de contrôle, Project Hive ne fournit que des capacités de gestion. Utilisé par des pirates, il lui faudrait donc quelque chose à gérer. Dans l’absolu, l’étude de son code permettrait cependant de révéler comment s’en servir, autorisant le développement de malwares adaptés.

L’analyse par les chercheurs devrait toutefois révéler certains détails plus « croustillants ». Par exemple, la possible reprise de code provenant de groupes de pirates. Un point déjà abordé par le passé, la CIA puisant dans ces ressources. Puisque les pirates font parfois preuve d’une grande ingéniosité pour parvenir à leurs fins et masquer leur présence, autant que ces compétences ne soient pas perdues.

Dans tous les cas, Project Hive n’est qu’une première publication dans ce qui promet d’être une nouvelle série de documents, révélés sans doute au rythme habituel de WikiLeaks : un peu toutes les semaines. Nul doute cependant que cette première diffusion d'informations restera l’une des plus importantes.

La CIA, quant à elle, reste sur sa ligne de communication : pas de commentaire sur les publications de WikiLeaks.