Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Wikileaks publie le code source de Marble, un outil masquant la provenance des attaques

This is madness

Wikileaks publie le code source de Marble, un outil masquant la provenance des attaques

Le 31 mars 2017 à 16h10

Wikileaks revient à la charge avec son vaste dossier Vault 7. L’organisation vient de publier une nouvelle flopée de fichiers, cette fois du code source pour un outil nommé Marble. Son objectif ? Masquer la provenance des attaques provenant de la CIA, voire les maquiller.

Il y a quelques semaines, Wikileaks faisait à nouveau parler de lui. Le site venait de publier une première série de documents, baptisés Vault 7. Ils concernent tous les activités d’espionnage de la CIA, le plus souvent à travers des techniques de piratage, via l’exploitation de failles, l’utilisation de fausses applications, etc.

Nombreuses critiques autour des premières révélations

L’organisation n’a pas fait que des heureux. Son activité a été remise en cause, beaucoup se demandant finalement à qui elle souhaitait rendre service avec de telles informations. Autre critique, la révélation de plusieurs dizaines de failles de sécurité sans avoir averti précédemment les entreprises concernées. Une pratique qu’elles goutent assez peu, puisqu’elle déclenche une course contre la montre : correction d’une faille contre son exploitation par d’éventuels pirates. La plupart avaient cependant indiqué que bon nombre de vulnérabilités étaient anciennes et déjà colmatées.

Wikileaks était depuis une semaine presque en « pause ». Digérant manifestement les retours qui lui étaient faits, l’organisation a fini par indiquer qu’elle travaillerait avec les entreprises si elles en faisaient la demande. On a en fait appris qu’elle les avait contactées directement pour leur proposer l’envoi confidentiel de données, mais en échange de certaines conditions. On ne sait pas depuis ce qui a été décidé. Seul Apple a réagi, surtout pour préciser qu’elle n’appréciait guère ce genre de méthode.

Marble, l'outil de la CIA pour couvrir ses traces

Après les révélations sur Dark Matter, largement centrées sur les MacBook et iPhone, Wikileaks remet donc le couvert avec Marble. 676 nouveaux fichiers ont été publiés. Cette fois-ci, pas vraiment de documentations ou de « manuel du parfait pirate », mais du code source. Marble est en effet un framework, autrement dit un type de trousse à outils visant à s’adapter à diverses situations. La ligne directrice est cependant claire : masquer les traces, voire envoyer sur de fausses pistes.

cia wikileaks vault marble

Marble est en effet chargé de cacher par obscurcissement tout ce qui pourrait impliquer la CIA. C’est notamment le cas de tous les éléments de langage « anglais américain » qui rendraient l’identification du code un peu trop évidente. Mais Marble, chargé globalement d’appliquer des techniques pouvant ralentir, voire stopper les enquêtes, va plus loin.

Le framework peut ainsi remplacer des éléments de texte par d’autres, et globalement maquiller le code source d’un malware – par exemple – pour le faire apparaître comme provenant d’un autre pays. Le code source fourni par Wikileaks contient des exemples en chinois, russe, coréen, arabe et farsi (parlé en Iran).

La description de Marble est intimement liée aux premiers éléments de Vault 7 fournis par Wikileaks. Certains passages explicatifs indiquaient en effet que la CIA était en capacité de se faire passer pour des pirates provenant d’un autre pays, voire d’une agence. Par ailleurs, Marble n’a rien d’un ancien projet. Toujours selon Wikileaks, la version 1.0 n’est apparue qu’en 2015 et des signes montrent que le logiciel était activement utilisé l’année dernière.

Le spectre d'une reprise des enquêtes sous un nouveau jour

Wikileaks fournit le code source pour des raisons simples. Outre le fait que l’organisation le peut, elle veut permettre aux personnes intéressées de réexaminer d’anciennes attaques à travers ce nouveau prisme. Comment ? Via deux éléments : un « deobfuscator » chargé d’annuler les opérations d’obscurcissement réalisées sur un code, et les techniques révélées par le code source. Ensemble, ils permettent de bâtir un modèle et donc de chercher des traces.

cia wikileaks vault marblecia wikileaks vault marble

L’organisation a donc l’espoir que certaines enquêtes pourraient aboutir à des conclusions très différentes. Certains malwares utilisés et attribués à tort à d’autres acteurs pourraient ainsi se révéler comme des produits de l’agence américaine, ce qui ne manquerait pas de soulever un nouveau vent de scandale. Le code source de Marble pourrait représenter un vrai problème pour la CIA, bien plus finalement que les révélations qui avaient été faites jusqu’à présent.

On notera que la publication de Wikileaks est volontairement incomplète. Les sources sont bien présentes, mais l’organisation n’a pas fourni les exécutables. L’immense majorité des fichiers concerne quoi qu’il en soit du code conçu pour Windows, certains éléments étant fournis avec les fichiers de projets pour Visual Studio. Ils peuvent d’ailleurs s’ouvrir facilement avec la version Code de l’environnement de développement.

Commentaires (40)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Le code source de Marble pourrait représenter un vrai problème pour la CIA, bien plus finalement que les révélations qui avaient été faites jusqu’à présent.



c’est clair.

tout le monde va pouvoir, pour une fois, identifier de façon assez certaine l’origine d’un malware.

ça doit pas leur faire plaisir, à Lengley. ^^



On attend le code source des malwares russes maintenant.



comment ça je me moque? <img data-src=" />

votre avatar







hellmut a écrit :



On attend le code source des malwares russes maintenant.



comment ça je me moque? <img data-src=" />





Tu pointes assez bien l’asymétrie de la situation.



Wikileaks est assez mal vu au sein de la communauté du renseignement français également, pour qui Wikileaks roule à présent en sous-main pour la Russie (ou c’est tout comme). Ils ont franchi une ligne depuis leurs débuts.


votre avatar

En même temps Julian Assange est poursuivie par les USA depuis des années pour une vidéo terrible de l’armée américaine…

votre avatar

Il n’y pas un danger qu’un groupe malveillant un peu polyglotte et avec de la jugeote utilise ce code source pour retourner Marble contre un pays/groupe/personnalité connue, en utilisant leur virus “maison” ?

votre avatar

“Cette fois-ci, pas vraiment de documentations ou de «&nbsp;manuel du parfait pirate&nbsp;», mais du code source”

&nbsp;

&nbsp;Le code est très bien documenté, pour quelqu’un qui maîtrise&nbsp;le mode d’emploi n’est pas vraiment utile.Donc danger pour que ce code ne se re-transforme en d’autres horribles choses

votre avatar

Conclusion la CIA fabrique des fausses preuves avec l’aide d’un logiciel donc toutes les accusations contre les autres pays sont caduques .

Wikimeaks œuvrent pour la démocratie en évitant d’aller se retrouver comme en “14-18” en train de faire la guerre pour des industriels .

votre avatar



L’immense majorité des fichiers concerne quoi qu’il en soit du code conçu pour Windows, certains éléments étant fournis avec les fichiers de projets pour Visual Studio. Ils peuvent d’ailleurs s’ouvrir facilement avec la version Code de l’environnement de développement.





ce qui prouve l’authenticité des fichiers : seuls des américains peuvent avoir l’idée choisir de développer leurs outils de hacking sous windows. <img data-src=" />

votre avatar







Nargas a écrit :



En même temps Julian Assange est poursuivie par les USA depuis des années pour une vidéo terrible de l’armée américaine…





Il n’est pas poursuivi pour ça, mais pour le fait de faire fuiter des secrets défense en général.

Effectivement, quand Wikileaks avait permis de connaître la vidéo, on pouvait penser que c’était embarrassant pour les USA mais au moins c’était pas “gratuit” comme quand on révèle des trucs sur les outils de la CIA.

Et concernant la vidéo de l’hélicoptère, les USA savent déjà reconnaître des bavures, c’est encore le cas tout récemment en Syrie ; pour que les russes (ou d’autres) fassent pareil tu peux attendre longtemps.


votre avatar







OlivierJ a écrit :



Effectivement, quand Wikileaks avait permis de connaître la vidéo, on pouvait penser que c’était embarrassant pour les USA mais au moins c’était pas “gratuit” comme quand on révèle des trucs sur les outils de la CIA.&nbsp;






  Rien n'est gratuit dans ce bas-monde.&nbsp;       


 Moins allégoriquement, non, ce n'est ni gratuit ni vain.&nbsp;       


 Que la CIA utilise des malwares ou des failles pour surveiller, et attaquer, et qu'elle s'en cache, on s'en doute. Mais dans les cas où elle se fait passer pour d'autres, on est dans l'offensive sous faux drapeau et c'est terriblement malsain (en plus d'être dangereux).       


 &nbsp; Le fait qu'un tel malware puisse se faire passer comme provenant d'un pays qui n'a rien à voir avec l'attaque ne me laisse aucun doute quant à l'usage de tels outils pour semer la zizanie et créer des troubles diplomatiques entre les pays (et uniquement dans ce but).

votre avatar

Tu ne seras jamais invité au colloc de la guerre avec des “ça c’est malsain” 😂

votre avatar

La CIA, le FBI, la NSA, le MOSSAD, la DGSE etc… = Des loups déguisés en agneaux qui font semblant d’œuvrer pour la sécurité du peuple alors qu’ils font tout pour diminuer la liberté du peuple en créant de toute pièce des attentats en se servant de l’islam. <img data-src=" />

votre avatar

Et quand ta cible c’est du Windows tu développes sous quoi, Solaris ?

votre avatar

C’est cela oui, c’est cela…

votre avatar

mwarf.

des agences de renseignement qui font du renseignement.

de façon clandestine, mon dieu que c’est horrible.

votre avatar

ouais enfin c’est pas réellement étonnant que des auteurs de malware ou autres cherchent à automatiser un processus d’obfuscation qui était avant fait à la main. ^^

votre avatar

Linux.



Pas besoin d’être sous un environnement pour développer pour celui-ci.

votre avatar

Un peu HS mais le sous-titre a-t-il un rapport avec Marble Madness ?? <img data-src=" />

votre avatar







nyarlatothep a écrit :



Rien n’est gratuit dans ce bas-monde.&nbsp; 



  Moins allégoriquement, non, ce n'est ni gratuit ni vain.&nbsp;        


  Que la CIA utilise des malwares ou des failles pour surveiller, et attaquer, et qu'elle s'en cache, on s'en doute. Mais dans les cas où elle se fait passer pour d'autres, on est dans l'offensive sous faux drapeau et c'est terriblement malsain (en plus d'être dangereux).        


  &nbsp; Le fait qu'un tel malware puisse se faire passer comme provenant d'un pays qui n'a rien à voir avec l'attaque ne me laisse aucun doute quant à l'usage de tels outils pour semer la zizanie et créer des troubles diplomatiques entre les pays (et uniquement dans ce but).






+1 Je préférerai que le budget de l’ANSSI soit considérablement augmenté pour l’intérêt général que d’avoir des agences agressives, en somme la défense plutôt que l’attaque <img data-src=" />


votre avatar

Bravo Wikileaks.

votre avatar

“This tool takes a list of dirty strings”



Tout un foin pour un simple gestionnaire de linge sale.

votre avatar

Moué, étant donné que cela est, comme d’autres l’ont suggéré, à la portée de bien d’autres services chargés d’espionner machines et réseaux, le seul véritable intérêt dans l’histoire est le timing de la diffusion de cette pseudo révélation.



Wikileaks balance un truc déportant l’attention sur les pratiques de la CIA juste quand ça commence à sentir fort le roussi pour les agissements de l’équipe Trump durant sa campagne et depuis son élection.



J’attends toujours que Wikileaks nous balance l’équivalent à propos d’APT28 et APT29.

votre avatar

Wikileaks ne dévoilera jamais rien concernant les russes.&nbsp;

votre avatar







teddyalbina a écrit :



Wikileaks ne dévoilera jamais rien concernant les russes.







Cela mérite une correction capitale : “Wikileaks ne dévoilera jamais rien concernant les Russes”.

<img data-src=" />

Cela concerne le régime russe actuel, en fait, pas ou peu nos ego alter.


votre avatar







OlivierJ a écrit :



Tu pointes assez bien l’asymétrie de la situation.



Wikileaks est assez mal vu au sein de la communauté du renseignement français également, pour qui Wikileaks roule à présent en sous-main pour la Russie (ou c’est tout comme). Ils ont franchi une ligne depuis leurs débuts.





Ou parce que les russes ont pas encore eu de Snowden ou d’activistes qui sortent les infos ? (En même temps ce jour là Assange sera mort, même au sein de l’ambassade. Pareil ils vont pas perdre de temps à torturer Chelsea Manning&nbsp;pendant des mois)


votre avatar







teddyalbina a écrit :



Wikileaks ne dévoilera jamais rien concernant les russes.&nbsp;





Bah si la CIA détient des infos, ils peuvent les filer à Wikileaks pour les diffuser ˆˆ (En plus ca reglera leur pb avec Assange)


votre avatar







OlivierJ a écrit :



Il n’est pas poursuivi pour ça, mais pour le fait de faire fuiter des secrets défense en général.

Effectivement, quand Wikileaks avait permis de connaître la vidéo, on pouvait penser que c’était embarrassant pour les USA mais au moins c’était pas “gratuit” comme quand on révèle des trucs sur les outils de la CIA.

Et concernant la vidéo de l’hélicoptère, les USA savent déjà reconnaître des bavures, c’est encore le cas tout récemment en Syrie ; pour que les russes (ou d’autres) fassent pareil tu peux attendre longtemps.







Les Russes ont déjà reconnu au moins une bavure en Syrie en tout cas.







Fyr a écrit :



Bah si la CIA détient des infos, ils peuvent les filer à Wikileaks pour les diffuser ˆˆ (En plus ça réglera leur pb avec Assange)







Je me disais la même chose <img data-src=" />

Mais non, ils préfèrent accuser les Russes de tout ce qui leur arrive.



Avec cet article on découvre qu’ils sont capable de faire tout ce dont ils accusent les Russes et d’essayer de leur faire porter le chapeau. On est en droit de se demander si c’est pas eux pour l’OSCE, TV5, Macron etc.


votre avatar

ah ! vous pensez que c’est la CIA qui a fait sauter le site de Metallica le jour de la prévente et pas les fans ?

<img data-src=" />

votre avatar







hellmut a écrit :



mwarf.

des agences de renseignement qui font du renseignement.

de façon clandestine, mon dieu que c’est horrible.





Là, si ce qui est révélé est avéré, nous ne sommes pas dans le renseignement.



On serait face à des cas où un pays tente de faire croire qu’une attaque contre X provient d’un groupe, pays qui pour le coup n’aurait rien fait. Au mieux c’est une tentative de dégrader les relations diplomatiques au pire de créer de toute pièce une guerre.



C’est quand même quelque chose d’assez alarmant car les conséquence pourraient être terrible.

&nbsp;

Il ne faut pas oublier que les USA ont menti éhontément face à l’ONU pour aller faire la guerre en Irak et mettre le pays dans l’état dans lequel il est aujourd’hui. Là, j’ai l’impression qu’ils avaient trouvé un moyen de créer le même genre de situation mais se mettre autant à découvert.


votre avatar







OlivierJ a écrit :



Il n’est pas poursuivi pour ça, mais pour le fait de faire fuiter des secrets défense en général.







Pour rappel, Assange n’est pas de nationalité étasunienne, donc le gouvernement americain ne peut pas le poursuivre pour trahison ou pour intelligence avec l’ennemie etc (contrairement à Brading).



A ma connaissance, les Americains ne peuvent meme pas lui reprocher l’intrusion dans des systemes informatiques (ce qui serait rigolo, apres les revelations de Snowden sur le pirate systematique)



Les militaires americains ont depose une plainte devant la justice americaine, mais sous scellée, on ne connait pas le sujet de la plainte ni les chefs d’accusation ni l’objet de l’inculpation par un eventuel procureur . Bref, c’est du n’importe quoi.


votre avatar

En gros, Marble ça traduit du code américain en code russe, c’est ça ?<img data-src=" />

votre avatar

Donc, quand les “experts en sécurité” annoncent que la provenance d’un virus est chinoise ou russe…



<img data-src=" />

votre avatar

C’est quoi l’éditeur de texte qu’on voit dans l’article svp? Merci

votre avatar

Après une petite recherche, il semblerait que ce soit Visual Studio Code.

votre avatar

oui enfin ils cherchent à l’évidence à masquer l’auteur du malware, ce qui est totalement logique quand tu ponds un malware ou un logiciel ayant pour but de faire de la collecte ou du renseignement.

après si le pays ou l’organisation en face prend les infos qu’elle a au pied de la lettre du style “oh ben c’est écrit en chinois donc c’est les chinois donc on va attaquer les chinois”, que dire à part LOL?

voir dans un tel outil “Au mieux c’est une tentative de dégrader les relations diplomatiques au pire de créer de toute pièce une guerre”, c’est légèrement exagéré à mon avis. le but de cet outil est de faire de l’obfuscation de code. ni plus ni moins.

en outre on parle ici du point de vue de Wikileaks sur cet outil. D’autres (qui sont loin d’être des quiches dans le domaine) ont un point de vue différent sur les objectifs et le fonctionnement de l’outil en question:



After a review of the code, Rendition Infosec assesses that the WikiLeaks analysis of the purpose of the code is incorrect. The code in the Marble Framework appears to be used to obfuscate strings commonly found in malware. The presence of Russian, Farsi, Chinese, etc. strings in the source code does not demonstrate that the CIA tried to blame its hacking on foreign entities (as WikiLeaks claims). It does demonstrate that the CIA wanted to test the obfuscation framework on those languages. This might suggest that CIA wrote custom malware targeting these languages, but that is all.

votre avatar

On parle souvent des conivences entre WikiLeaks, Trump et la Russie.



Aucune preuve concrète n’a jamais été apporté. Mais bon si BFM TV le suppose, donc c’est vrai…..

votre avatar







Fyr a écrit :



Ou parce que les russes ont pas encore eu de Snowden ou d’activistes qui sortent les infos ?





Quand tu vois que déjà en Russie des journalistes se font assassiner, l’existence d’un snowden russe est hautement improbable.

Les US sont à peu près le seul pays où on peut faire fuiter des secrets défense et rester en vie. Déjà que c’est un des rares pays où on a des commissions d’enquête sur les défaillances de ses services et les ratés genre Irangate et contragate, et de manière générale le seul dont on connaisse aussi bien les services secrets et une partie de leurs actes.


votre avatar







Yss a écrit :



Là, si ce qui est révélé est avéré, nous ne sommes pas dans le renseignement.





La CIA se sont aussi les actions extérieures, c’est pas juste le renseignement (idem MI6, DGSE, FSB et compagnie).







Yss a écrit :



Il ne faut pas oublier que les USA ont menti éhontément face à l’ONU pour aller faire la guerre en Irak





Oh ça, on ne risque pas d’oublier, ça va les desservir pendant le siècle à venir, ça va être l’argument réflexe face à eux pour dire qu’ils mentent toujours.

En fait une partie des services US croyait vraiment à la présence d’ADM, sur la base d’un témoignage d’un chercheur irakien ayant fui son pays et réfugié en Allemagne. D’autres pays comme la France n’ont pas eu ce discours je te le rappelle.







127.0.0.1 a écrit :



Donc, quand les “experts en sécurité” annoncent que la provenance d’un virus est chinoise ou russe…





Donc ?

Tu penses que quand le FBI ou la DGSI s’avancent à dire ça, c’est juste après 5 min de lecture de code ?







hellmut a écrit :



oui enfin ils cherchent à l’évidence à masquer l’auteur du malware, ce qui est totalement logique quand tu ponds un malware ou un logiciel ayant pour but de faire de la collecte ou du renseignement.

après si le pays ou l’organisation en face prend les infos qu’elle a au pied de la lettre du style “oh ben c’est écrit en chinois donc c’est les chinois donc on va attaquer les chinois”, que dire à part LOL?

voir dans un tel outil “Au mieux c’est une tentative de dégrader les relations diplomatiques au pire de créer de toute pièce une guerre”, c’est légèrement exagéré à mon avis. le but de cet outil est de faire de l’obfuscation de code. ni plus ni moins.

en outre on parle ici du point de vue de Wikileaks sur cet outil. D’autres (qui sont loin d’être des quiches dans le domaine) ont un point de vue différent sur les objectifs et le fonctionnement de l’outil en question:





<img data-src=" />







nigol a écrit :



Les militaires americains ont depose une plainte devant la justice americaine, mais sous scellée, on ne connait pas le sujet de la plainte ni les chefs d’accusation ni l’objet de l’inculpation par un eventuel procureur . Bref, c’est du n’importe quoi.





En quoi c’est n’importe quoi ?

Il est également soumis à un mandat d’arrêt européen émis par la Suède, qui a été contesté juridiquement mais qui reste valide, y compris en France donc. Perso je n’ai aucune idée de la culpabilité de Snowden par rapport à la Suède.


votre avatar







OlivierJ a écrit :



Donc ?

Tu penses que quand le FBI ou la DGSI s’avancent à dire ça, c’est juste après 5 min de lecture de code ?







Oui. Mais si tu connais leurs méthodes de travail, n’hésite pas à partager ton savoir.


votre avatar







hellmut a écrit :



oui enfin ils cherchent à l’évidence à masquer l’auteur du malware, ce qui est totalement logique quand tu ponds un malware ou un logiciel ayant pour but de faire de la collecte ou du renseignement.

après si le pays ou l’organisation en face prend les infos qu’elle a au pied de la lettre du style “oh ben c’est écrit en chinois donc c’est les chinois donc on va attaquer les chinois”, que dire à part LOL?

voir dans un tel outil “Au mieux c’est une tentative de dégrader les relations diplomatiques au pire de créer de toute pièce une guerre”, c’est légèrement exagéré à mon avis. le but de cet outil est de faire de l’obfuscation de code. ni plus ni moins.

en outre on parle ici du point de vue de Wikileaks sur cet outil. D’autres (qui sont loin d’être des quiches dans le domaine) ont un point de vue différent sur les objectifs et le fonctionnement de l’outil en question:





Certes, mais je fait une différence entre masquer ses traces et se faire passer pour un autre. Des tensions diplomatiques, ça peut vite dégénérer, un incident ça survient très vite. C’est à mon sens un jeu dangereux avec des conséquences potentiellement graves.



Après je ne suis pas expert et comme je le&nbsp;dis dès le début “si c’est avéré”. :)&nbsp;

&nbsp;



OlivierJ a écrit :



&nbsp;

&nbsp;&nbsp;

&nbsp;&nbsp;

Oh ça, on ne risque pas d’oublier, ça va les desservir pendant le siècle à venir, ça va être l’argument réflexe face à eux pour dire qu’ils mentent toujours.

En fait une partie des services US croyait vraiment à la présence d’ADM, sur la base d’un témoignage d’un chercheur irakien ayant fui son pays et réfugié en Allemagne. D’autres pays comme la France n’ont pas eu ce discours je te le rappelle.&nbsp;



&nbsp;

En même temps ce n’étais pas le premier mensonge des USA pour justifier une guerre ou un acte qui sans ce mensonge aurait été totalement inacceptable. Mais cela ne se limite pas aux USA, je pense que c’est applicable à la majorité des pays, ce qui est en soit un problème.

Et puis si des pays doutaient pourquoi ne les ont ils pas écoutés ? Pourquoi ne pas avoir approfondit l’enquête ? Enfin bon on ne refait pas l’histoire, mais faudrait quand même qu’elle nous serve de leçon.


votre avatar







Yss a écrit :



En même temps ce n’étais pas le premier mensonge des USA pour justifier une guerre ou un acte qui sans ce mensonge aurait été totalement inacceptable. Mais cela ne se limite pas aux USA, je pense que c’est applicable à la majorité des pays, ce qui est en soit un problème.





De toutes façons les USA, comme d’autres (coucou la Russie), quand ils ont décidé d’intervenir militairement dans un pays, quand ils ne peuvent pas avoir l’accord de l’ONU (à l’inverse de 1991 en Irak), ils y vont quand même (avec l’accord tacite de leurs alliés, mais pas forcément comme pour l’Irak en 2003, à vrai dire je ne sais pas quelle a été la position de nos services à l’époque, indépendamment de la position officielle de la France avec Villepin et Chirac).


Wikileaks publie le code source de Marble, un outil masquant la provenance des attaques

  • Nombreuses critiques autour des premières révélations

  • Marble, l'outil de la CIA pour couvrir ses traces

  • Le spectre d'une reprise des enquêtes sous un nouveau jour

Fermer