Wikileaks revient à la charge avec son vaste dossier Vault 7. L’organisation vient de publier une nouvelle flopée de fichiers, cette fois du code source pour un outil nommé Marble. Son objectif ? Masquer la provenance des attaques provenant de la CIA, voire les maquiller.
Il y a quelques semaines, Wikileaks faisait à nouveau parler de lui. Le site venait de publier une première série de documents, baptisés Vault 7. Ils concernent tous les activités d’espionnage de la CIA, le plus souvent à travers des techniques de piratage, via l’exploitation de failles, l’utilisation de fausses applications, etc.
Nombreuses critiques autour des premières révélations
L’organisation n’a pas fait que des heureux. Son activité a été remise en cause, beaucoup se demandant finalement à qui elle souhaitait rendre service avec de telles informations. Autre critique, la révélation de plusieurs dizaines de failles de sécurité sans avoir averti précédemment les entreprises concernées. Une pratique qu’elles goutent assez peu, puisqu’elle déclenche une course contre la montre : correction d’une faille contre son exploitation par d’éventuels pirates. La plupart avaient cependant indiqué que bon nombre de vulnérabilités étaient anciennes et déjà colmatées.
Wikileaks était depuis une semaine presque en « pause ». Digérant manifestement les retours qui lui étaient faits, l’organisation a fini par indiquer qu’elle travaillerait avec les entreprises si elles en faisaient la demande. On a en fait appris qu’elle les avait contactées directement pour leur proposer l’envoi confidentiel de données, mais en échange de certaines conditions. On ne sait pas depuis ce qui a été décidé. Seul Apple a réagi, surtout pour préciser qu’elle n’appréciait guère ce genre de méthode.
Marble, l'outil de la CIA pour couvrir ses traces
Après les révélations sur Dark Matter, largement centrées sur les MacBook et iPhone, Wikileaks remet donc le couvert avec Marble. 676 nouveaux fichiers ont été publiés. Cette fois-ci, pas vraiment de documentations ou de « manuel du parfait pirate », mais du code source. Marble est en effet un framework, autrement dit un type de trousse à outils visant à s’adapter à diverses situations. La ligne directrice est cependant claire : masquer les traces, voire envoyer sur de fausses pistes.
Marble est en effet chargé de cacher par obscurcissement tout ce qui pourrait impliquer la CIA. C’est notamment le cas de tous les éléments de langage « anglais américain » qui rendraient l’identification du code un peu trop évidente. Mais Marble, chargé globalement d’appliquer des techniques pouvant ralentir, voire stopper les enquêtes, va plus loin.
Le framework peut ainsi remplacer des éléments de texte par d’autres, et globalement maquiller le code source d’un malware – par exemple – pour le faire apparaître comme provenant d’un autre pays. Le code source fourni par Wikileaks contient des exemples en chinois, russe, coréen, arabe et farsi (parlé en Iran).
La description de Marble est intimement liée aux premiers éléments de Vault 7 fournis par Wikileaks. Certains passages explicatifs indiquaient en effet que la CIA était en capacité de se faire passer pour des pirates provenant d’un autre pays, voire d’une agence. Par ailleurs, Marble n’a rien d’un ancien projet. Toujours selon Wikileaks, la version 1.0 n’est apparue qu’en 2015 et des signes montrent que le logiciel était activement utilisé l’année dernière.
Le spectre d'une reprise des enquêtes sous un nouveau jour
Wikileaks fournit le code source pour des raisons simples. Outre le fait que l’organisation le peut, elle veut permettre aux personnes intéressées de réexaminer d’anciennes attaques à travers ce nouveau prisme. Comment ? Via deux éléments : un « deobfuscator » chargé d’annuler les opérations d’obscurcissement réalisées sur un code, et les techniques révélées par le code source. Ensemble, ils permettent de bâtir un modèle et donc de chercher des traces.
L’organisation a donc l’espoir que certaines enquêtes pourraient aboutir à des conclusions très différentes. Certains malwares utilisés et attribués à tort à d’autres acteurs pourraient ainsi se révéler comme des produits de l’agence américaine, ce qui ne manquerait pas de soulever un nouveau vent de scandale. Le code source de Marble pourrait représenter un vrai problème pour la CIA, bien plus finalement que les révélations qui avaient été faites jusqu’à présent.
On notera que la publication de Wikileaks est volontairement incomplète. Les sources sont bien présentes, mais l’organisation n’a pas fourni les exécutables. L’immense majorité des fichiers concerne quoi qu’il en soit du code conçu pour Windows, certains éléments étant fournis avec les fichiers de projets pour Visual Studio. Ils peuvent d’ailleurs s’ouvrir facilement avec la version Code de l’environnement de développement.
Commentaires (40)
#1
Le code source de Marble pourrait représenter un vrai problème pour la CIA, bien plus finalement que les révélations qui avaient été faites jusqu’à présent.
c’est clair.
tout le monde va pouvoir, pour une fois, identifier de façon assez certaine l’origine d’un malware.
ça doit pas leur faire plaisir, à Lengley. ^^
On attend le code source des malwares russes maintenant.
comment ça je me moque? " />
#2
#3
En même temps Julian Assange est poursuivie par les USA depuis des années pour une vidéo terrible de l’armée américaine…
#4
Il n’y pas un danger qu’un groupe malveillant un peu polyglotte et avec de la jugeote utilise ce code source pour retourner Marble contre un pays/groupe/personnalité connue, en utilisant leur virus “maison” ?
#5
“Cette fois-ci, pas vraiment de documentations ou de « manuel du parfait pirate », mais du code source”
Le code est très bien documenté, pour quelqu’un qui maîtrise le mode d’emploi n’est pas vraiment utile.Donc danger pour que ce code ne se re-transforme en d’autres horribles choses
#6
Conclusion la CIA fabrique des fausses preuves avec l’aide d’un logiciel donc toutes les accusations contre les autres pays sont caduques .
Wikimeaks œuvrent pour la démocratie en évitant d’aller se retrouver comme en “14-18” en train de faire la guerre pour des industriels .
#7
L’immense majorité des fichiers concerne quoi qu’il en soit du code conçu pour Windows, certains éléments étant fournis avec les fichiers de projets pour Visual Studio. Ils peuvent d’ailleurs s’ouvrir facilement avec la version Code de l’environnement de développement.
ce qui prouve l’authenticité des fichiers : seuls des américains peuvent avoir l’idée choisir de développer leurs outils de hacking sous windows. " />
#8
#9
#10
Tu ne seras jamais invité au colloc de la guerre avec des “ça c’est malsain” 😂
#11
La CIA, le FBI, la NSA, le MOSSAD, la DGSE etc… = Des loups déguisés en agneaux qui font semblant d’œuvrer pour la sécurité du peuple alors qu’ils font tout pour diminuer la liberté du peuple en créant de toute pièce des attentats en se servant de l’islam. " />
#12
Et quand ta cible c’est du Windows tu développes sous quoi, Solaris ?
#13
C’est cela oui, c’est cela…
#14
mwarf.
des agences de renseignement qui font du renseignement.
de façon clandestine, mon dieu que c’est horrible.
#15
ouais enfin c’est pas réellement étonnant que des auteurs de malware ou autres cherchent à automatiser un processus d’obfuscation qui était avant fait à la main. ^^
#16
Linux.
Pas besoin d’être sous un environnement pour développer pour celui-ci.
#17
Un peu HS mais le sous-titre a-t-il un rapport avec Marble Madness ?? " />
#18
#19
Bravo Wikileaks.
#20
“This tool takes a list of dirty strings”
Tout un foin pour un simple gestionnaire de linge sale.
#21
Moué, étant donné que cela est, comme d’autres l’ont suggéré, à la portée de bien d’autres services chargés d’espionner machines et réseaux, le seul véritable intérêt dans l’histoire est le timing de la diffusion de cette pseudo révélation.
Wikileaks balance un truc déportant l’attention sur les pratiques de la CIA juste quand ça commence à sentir fort le roussi pour les agissements de l’équipe Trump durant sa campagne et depuis son élection.
J’attends toujours que Wikileaks nous balance l’équivalent à propos d’APT28 et APT29.
#22
Wikileaks ne dévoilera jamais rien concernant les russes.
#23
#24
#25
#26
#27
ah ! vous pensez que c’est la CIA qui a fait sauter le site de Metallica le jour de la prévente et pas les fans ?
" />
#28
#29
#30
En gros, Marble ça traduit du code américain en code russe, c’est ça ?" />
#31
Donc, quand les “experts en sécurité” annoncent que la provenance d’un virus est chinoise ou russe…
" />
#32
C’est quoi l’éditeur de texte qu’on voit dans l’article svp? Merci
#33
Après une petite recherche, il semblerait que ce soit Visual Studio Code.
#34
oui enfin ils cherchent à l’évidence à masquer l’auteur du malware, ce qui est totalement logique quand tu ponds un malware ou un logiciel ayant pour but de faire de la collecte ou du renseignement.
après si le pays ou l’organisation en face prend les infos qu’elle a au pied de la lettre du style “oh ben c’est écrit en chinois donc c’est les chinois donc on va attaquer les chinois”, que dire à part LOL?
voir dans un tel outil “Au mieux c’est une tentative de dégrader les relations diplomatiques au pire de créer de toute pièce une guerre”, c’est légèrement exagéré à mon avis. le but de cet outil est de faire de l’obfuscation de code. ni plus ni moins.
en outre on parle ici du point de vue de Wikileaks sur cet outil. D’autres (qui sont loin d’être des quiches dans le domaine) ont un point de vue différent sur les objectifs et le fonctionnement de l’outil en question:
After a review of the code, Rendition Infosec assesses that the WikiLeaks analysis of the purpose of the code is incorrect. The code in the Marble Framework appears to be used to obfuscate strings commonly found in malware. The presence of Russian, Farsi, Chinese, etc. strings in the source code does not demonstrate that the CIA tried to blame its hacking on foreign entities (as WikiLeaks claims). It does demonstrate that the CIA wanted to test the obfuscation framework on those languages. This might suggest that CIA wrote custom malware targeting these languages, but that is all.
#35
On parle souvent des conivences entre WikiLeaks, Trump et la Russie.
Aucune preuve concrète n’a jamais été apporté. Mais bon si BFM TV le suppose, donc c’est vrai…..
#36
#37
#38
#39
#40