Face à un certain nombre de critiques, Wikileaks a décidé de travailler directement avec les sociétés concernées par les failles de sécurité trouvées dans les ressources de la CIA. Entre temps, d’autres entreprises ont réagi, notamment Intel qui a publié des outils de sécurité.
Depuis la publication des documents Vault 7 de Wikileaks sur les techniques de la CIA pour espionner de nombreux types d’appareils, l’organisation a été critiquée. Son implication a été remise en cause, certains imaginant qu’elle serait discrètement pilotée par Moscou en tirant parti de l’idéalisme de Julien Assange. Mais de manière plus pragmatique, c’est son attitude face aux failles de sécurité qui a dérangé.
La publication des informations a relancé en effet le débat sur la divulgation responsable des vulnérabilités. Même si des sociétés comme Apple et Google ont indiqué que la plupart avaient déjà été corrigées – prouvant au passage que la réserve publiée avait un certain âge – il n’en reste pas moins que d’autres ne l’étaient pas, attirant immanquablement l’attention de pirates.
Wikileaks aidera à la résolution des failles avant de publier d'autres documents
Julien Assange a donc annoncé que Wikileaks allait non seulement laisser du temps aux entreprises pour travailler sur leurs solutions respectives, mais que l’organisation se tenait prête à travailler discrètement avec elles pour fournir toute information technique supplémentaire qui serait nécessaire.
Une fois que les éditeurs concernés auront mis à jour leurs produits, alors seulement Wikileaks publiera les informations suivantes. Une décision sans doute bienvenue pour éviter d’enflammer une situation qui, même avec des bases communes, est assez différente de 2013, quand Edward Snowden avait publié les premières informations sur le programme Prism de la NSA.
Notez également qu’Assange a accusé la CIA « d’incompétence dévastatrice », les fameux outils transitant entre les sous-traitants sans protections particulières, malgré la sensibilité du matériel.
VLC réagit et prépare une version Windows « anti-CIA »
Hier, l’association VideoLAN a publié un communiqué pour donner quelques indications sur la fausse version de VLC utilisée par la CIA pour l’espionnage des ordinateurs. On apprend qu’elle nécessite Windows XP ou une version ultérieure ainsi qu’un accès physique à la machine, et qu’il s’agit de la déclinaison 2.1.5 Portable.
Surtout, l’association explique que la technique de la CIA ne passe pas par une quelconque faille, ni dans la version Portable, ni même dans la mouture classique. À la place, l’agence a modifié le manifeste de l’application pour lui faire charger une bibliothèque tierce, psapi.dll. Elle contient un malware chargé de trouver des informations sur la machine avant de les expédier à la CIA.
Cependant, le malware utilise une technique particulière pour mener à bien sa mission. L’équipe de VideoLAN travaille donc sur une nouvelle version 2.2.5 qui, quand elle sera disponible, rendra impossible l’activité masquée. La future branche 3.X sera également mise à jour en fonction. Il est recommandé aux utilisateurs de mettre à jour leur lecteur multimédia dès que la mise à jour sera disponible.
Notepad++ corrige un problème équivalent
Notepad++ fait partie de la liste des applications dont la CIA peut se servir pour infecter une machine, si tant est qu’un agent puisse obtenir un accès physique. La technique retenue est la même que pour VLC, avec une DLL remplacée par une version modifiée, ici scilexer.dll.
Sur son site, l’éditeur explique que la nouvelle version 7.3.3, déjà disponible, renforce le contrôle du certificat de la bibliothèque. Si aucun problème n’est détecté, le logiciel se lance. Si le certificat est douteux, il ne se lance pas. Par contre, il précise que si la machine est déjà infectée, installer cette version ne servira sans doute à rien, la CIA ayant déjà la maîtrise de l’ordinateur.
Intel publie des outils de sécurité
Parmi les documents publiés par Wikileaks, certains décrivent comment la CIA parvient à implanter un rootkit dans le firmware de MacBook, là encore avec un accès physique à la machine. En temps normal, l’installation d’un nouveau firmware est en effet pilotée directement via le Mac App Store. Rappelons qu’un rootkit est un logiciel malveillant qui se positionne très tôt dans la chaine de démarrage et reste masqué de la plupart des logiciels de sécurité.
C’est l’Embedded Development Branch de l’agence américaine qui s’est chargée de cette mission. Elle a créé une sorte d’implant baptisé DerStarke agissant sur deux vecteurs : Bokor, un module d’injection de code dans le kernel d’OS X, et DarkMatter, un module chargé d’assurer une persistance dans l’EFI de la machine. Entre les deux, on trouve QuarkMatter, un pilote stocké dans l’EFI chargé de faire le lien.
L’équipe Advanced Threat Research d’Intel vient justement de publier un outil pour son framework open source CHIPSEC pour détecter les faux binaires EFI. Disponible sous Linux, macOS et Windows, il permet via des lignes de commande d’analyser une configuration matérielle, notamment le firmware, dans le cas présent l’EFI.
L’outil n’est pas vraiment à portée du grand public puisqu’il permet par exemple de récupérer une image EFI propre depuis un constructeur, d’extraire son contenu puis de comparer la liste des binaires avec celle présente sur le système. De fait, Intel recommande de générer la fameuse liste blanche après l’achat d’une machine ou quand l’utilisateur est certain que sa machine n’a pas été infectée, afin de s’en servir plus tard comme point de comparaison.
Les outils de la CIA ne sont pas forcément sophistiqués
Certains experts en sécurité sont d’avis que la CIA ne cherche pas nécessairement à être aussi innovante qu’elle le prétend, notamment quand elle rappelle sa mission.
L’agence semble surtout avoir collecté autant de failles de sécurité 0-day qu’elle le pouvait et s’être inspirée de techniques existantes. Par exemple, dans le cas de Weeping Angels pour les Smart TV de Samsung, le chercheur Dan Tentler, également PDG de la société Phobos Group, indique qu’il avait vu cette technique démontrée sur la scène d’une conférence en 2013.
Il pointe cependant que la situation n’est pas surprenante : il est normal que la CIA fasse attention aux techniques présentées afin de s’en inspirer ou de les reprendre en l’état.
Pour d’autres, comme rapportés par Cyberscoop, les malwares utilisés n’ont rien de bien extraordinaire. Certains sont même décrits comme d’un niveau technique assez peu élevé et peuvent être très facilement détectés par des antivirus.
Commentaires (41)
“L’équipe de VideoLAN travaille donc sur une nouvelle version 2.2.5 qui, quand elle sera disponible, rendra impossible l’activité masquée.”
Le logiciel etant libre, qu’est ce qui empechera de le recompiler pour rendre possible “l’activité masquée” à nouveau ?
Avec un DRM !
" />
Oh wait
Rien. N’importe qui pourra évidement recompiler et redistribuer VLC. Toutefois seul VideoLAN dispose de la clef de chiffrement des binaires Windows. Un “faux” VLC ne sera donc pas signé et ce sera visible dès le lancement de l’installeur.
C’est le même souci pour Notepad++. La protection vérifie le certificat de la DLL, mais si la CIA a les moyens de modifier la DLL alors ils ont aussi les moyens de modifier l’EXE (et donc contourner la protection).
Je comprends que les développeurs se sentent obligés de réagir, mais j’ai peur que ces annonces fassent croire au grand public que les logiciels sont maintenant sécurisés alors que la situation est strictement identique à celle qu’elle était avant ces révélations.
finalement la CIA n’a qu’à invoquer l’état d’urgence et dire que ce sont des interceptions administratives pour surveiller des potentiels terroristes colporteurs de fake-news.
Personne ne peut leur interdire de lutter contre le terrorisme, non ?
De toutes façons un type qui est sous w10 et qui par peur d’être espionné utiliserait VLC et notepad++ c’est un peu suspect, non ?
voila, pardon aux familles toussa … maintenant circulez !
On sait si le Démineur ou le Spider Solitaire sont infectés ? :lol:
Tout un plat pour des failles non exploitables à distance et nécessitant un accès physique… En gros ça concerne de grosses affaires et les gens lambda ne sont absolument pas concernées.
" />
Je rappelle à tout hasard que la CIA, contrairement à la NSA qui aspire tout ce qu’elle peut, fait de l’espionnage ciblé de personnes bien précises, en-dehors de ses frontières (et peut-être de quelques étrangers sur le sol US, si ce n’est pas l’apanage du FBI).
Pour ceux qui ont vu la série britannique Spooks (MI-5 en français), on voyait de telles opérations effectuées par le contre-espionnage britannique, la série donnant l’impression qu’ils étaient très forts à ce “jeu” d’infiltration d’ordinateur, avec l’informaticien maison au top évidemment :-) . Série pas mal du tout au demeurant :https://fr.wikipedia.org/wiki/MI-5_(s%C3%A9rie_t%C3%A9l%C3%A9vis%C3%A9e) .
Moi, tant qu’il y a un popup qui dit que VLC est authentique, j’ai confiance.
" />
Peu importe que le popup soit codé par JBK ou CIA.
Bon, j’attend de voir comment les éditeurs open-source vont faire pour nous prouver qu’une version de soft downloadée ici ou là est authentique.
Un vérificateur “Genuine” à la Microsoft ? Un DRM à la Trusted Platform ? Mystère…
Les blondasses à forte poitrine, elles font tout sur leur Iphone, pas sur PC
Non, je la laisserai tripoter mon joystick et jouer avec mon ordinateur. C’est l’inverse !
" />
Attention à la Vault face.
" />
https://arstechnica.com/security/2017/03/preinstalled-malware-targets-android-users-of-two-companies/
" />
j’ai “psapi.dll” sur ma bécane.
c’est normal?
Tant que ce n’est pas dans le répertoire de VLC mais dans un sous-répertoire système ce n’est pas inquiétant c’est même plutôt attendu.
Rien de bien transcendant au final. La plus part du temps il faut un accès physique à la machine…
Ensuite pour ceux qui ont peur des installeurs vérolés, aller directement chercher le binaire sur les sites officiels sans passer par des warez
Et quand vous quittez votre poste de travail verrouillez le, ça évitera les gros mâles poilus en fond d’écran.
C’est de cela qu’il s’agit dans le cas où la CIA voudrait “véroler” une version officielle de VLC portable 2.1.5 qui est déjà correctement installée sur ton PC.
Comme dit dans le communiqué:
this exploit is nothing different than installing a trojaned software from an untrusted source
Bref le communiqué dit qu’il y a deux causes pour se retrouver avec un VLC vérolé: