Dans un nouveau lâché de documents Vault 7, Wikileaks dévoile cette fois des informations sur le piratage des équipements Apple, particulièrement les MacBook et iPhone. Ces données sont cependant anciennes, la firme ayant confirmé que plus aucune de ces mécaniques n’était exploitable depuis des années.
Wikileaks continue donc à dévoiler des informations sur les méthodes de la CIA. Après une longue liste de programmes, méthodes et malwares utilisés par l’agence, l’organisation revient avec des techniques employées spécifiquement sur des appareils Apple. On y trouve principalement des moyens de pirater l’EFI des MacBook et l’installation de malwares dans l’iPhone 3G. Des informations périmées depuis un bon moment.
Modifier l'EFI en passant par Thunderbolt
Les nouveaux documents se focalisent sur DarkMatter, un nom bien sérieux que nous avions déjà abordé. Il décrivait un module chargé d’assurer au sein d’OS X une persistance d’un EFI modifié dans un MacBook. De fait, Wikileaks a choisi ce nom pour représenter son nouveau lot d’informations. On y trouve de la documentation et des manuels pour exploiter des failles dans les MacBook, certaines informations étant très précises.
On apprend ainsi que la CIA a utilisé un outil nommé « Sonic Screwdriver » (autre référence à Dr Who), capable d’exploiter des failles dans l’interface Thunderbolt. Cette dernière pouvait alors être détournée pour brancher une clé capable de réorienter la chaine de démarrage. Les agents de la CIA, s’ils avaient un accès physique à la machine, étaient alors capables d’implanter un ou plusieurs malwares durant le chargement du système. Des bestioles numériques presque impossibles à supprimer ensuite, sinon par la même méthode.
Des informations vieilles de plusieurs années pour la plupart
Le fait est que les informations dévoilées par Wikileaks, si elles ont le mérite de montrer un attrait de la CIA pour ce type d’opération, sont toutes âgées de plusieurs années. Sonic Screwdriver existe ainsi depuis 2012 et il ne fonctionnait alors que sur les MacBook vendus entre fin 2011 et mi-2012. Il a visiblement été mis à jour, jusqu’à pouvoir tirer parti d’une faille signalée il y a deux ans dans Thunderbolt, et corrigée depuis presque autant de temps. Elle avait été montrée notamment par « Snare » lors de la conférence Black Hat 2012.
Mais si l’outil datait de 2012, l’intérêt de la CIA pour les MacBook remonte à au moins 2009. L’agence disposait alors d’une trousse à outils nommée DarkSeaSkies, dans laquelle on trouvait justement DarkMatter, dont la mission était essentiellement de préparer le terrain pour deux autres modules, l’un servant de porte dérobée (NightSkies), l’autre d’implant dans le kernel du système pour réactiver la porte dérobée (SeaPea).
À compter de 2012 cependant, la CIA est passée à un module plus évolué, Der Starke. Il s’agissait d’une version améliorée d’un autre implant que DarkMatter, Triton, dont il supprimait les traces sur le disque. Conséquence, si Triton fonctionnait sur Lion et Mountain Lion, Der Starke pouvait tourner également sur Mavericks, en passant par une clé USB, sans requérir les droits administrateurs sous OS X.
Une version 2.0 de Der Starke en préparation
Aujourd’hui, les seules machines qui restent attaquables sont a priori celles qui existaient il y a deux ans et qui n’auraient pas fait la moindre mise à jour du firmware depuis. Ces dernières étant distribuées par le Mac App Store comme les autres correctifs du système, il y a peu de chances que les MacBook vulnérables soient nombreux, sans parler d’un accès physique obligatoire à la machine.
On notera cependant que la CIA travaillait en 2016 sur une version 2.0 de Der Starke. On ne connait pas le degré d’avancement de développement, ni dans quelle mesure elle pourrait s’attaquer aux systèmes récents.
iPhone : presque le désert
Si les MacBook requéraient des méthodes très spécifiques, au moins la CIA a pu enchainer les techniques pour s’adapter à l’évolution information. Sur iPhone par contre, et si l’on table uniquement sur les documents dévoilés par Wikileaks, il semble que l’agence ait eu beaucoup moins de chance.
La CIA a en fait bien exploité une faille pour percer les défenses du smartphone, mais elle remonte à 8 ans. Un outil nommé « beacon » a été créé pour l’exploiter, mais là encore il fallait impérativement que l’agent chargé de pirater l’appareil puisse y avoir un accès physique.
Apple n’apprécie guère le travail de Wikileaks
Interrogée par The Verge sur le contenu des dernières publications de Wikileaks, la firme de Cupertino a tenu à rassurer les utilisateurs : « Nous avons fait un premier examen des révélations de Wikileaks de ce matin. Selon notre première analyse, la faille supposée dans l’iPhone n’affectait que le 3G et a été corrigée en 2009 quand le 3GS est sorti. De plus, notre examen préliminaire montre que les failles Mac ont toutes été précédemment corrigées dans les Mac vendus à partir de 2013 ».
Mais puisque Wikileaks avait annoncé communiquer directement avec les entreprises concernées par Vault 7 afin que les failles leurs soient transmises pour correction – ou tout du moins pour examen – on pouvait se demander si les nouvelles informations avaient reçu l’aval d’Apple pour publication. La firme s’est donc montrée très claire sur le sujet : il n’y a pas eu communication.
« Nous n’avons pas négocié avec Wikileaks pour la moindre information. Nous leurs avons donné des instructions pour soumettre les informations qu’ils veulent via notre processus habituel, sous nos conditions standards. Jusqu’à présent, nous n’avons pas reçu la moindre information de leur part qui ne soit déjà dans le domaine public. Nous sommes des défenseurs infatigables de la sécurité et de la vie privée de nos utilisateurs, mais nous n’approuvons pas le vol, ni ne nous coordonnons avec ceux qui menacent de les mettre en danger ».
Il est particulièrement clair qu’Apple désapprouve largement les méthodes de Wikileaks. Les divulgations d’informations sont directement pointées du doigt ici, et on rappellera que l’organisation a en effet été nettement critiquée pour ces publications. Beaucoup lui reprochent de publier les détails de failles qui sont pour la plupart anciennes, mais pas forcément toutes corrigées. Apple, Google, Microsoft et les autres entreprises préfèrent la divulgation confidentielle des détails, leur laissant le temps de préparer les correctifs.
D’étranges conditions de partage
Ces informations sont concomitantes avec un article de Motherboard publié il y a quelques jours. Sans que des déclarations officielles aient confirmé ces dires, plusieurs sources ont affirmé à nos confrères que Julian Assange avait pris contact avec toutes les sociétés impliquées.
Aucune transmission d’informations n’aurait cependant eu lieu, car le fondateur de Wikileaks aurait expédié par email une liste de demandes à respecter pour recevoir les détails techniques des failles. Cette liste n’est pas connue, mais toujours selon les mêmes sources, une limite de 90 jours serait imposée pour colmater les brèches, sans quoi les détails seraient publiés.
Microsoft est la seule entreprise à avoir confirmé que Wikileaks avait pris contact, mais sans donner le moindre indice sur ce qui avait pu bien suivre dans cet échange. Si échange il y a bien eu.
Commentaires (3)
On parle de failles anciennes et heureusement corrigées (même si la plupart du temps c’était via un accès physique à la machine). Du coup je me demande bien quels outils ils ont maintenant.
Je pense que maintenant c’est plus simple, ils ont une jolie web ui en HTML5 avec tous les produits Apple directement listés.
Ah les joies de l’évolution technologique !
Il faut que les appareils soient mis à jour.