Vault 8 : WikiLeaks s'attaque aux infrastructures serveurs de la CIA

Vault 8 : WikiLeaks s’attaque aux infrastructures serveurs de la CIA

Vous avez demandé le standard, ne quittez pas

Avatar de l'auteur

Vincent Hermann

Publié dansInternet

10/11/2017
4
Vault 8 : WikiLeaks s'attaque aux infrastructures serveurs de la CIA

Après les publications Vault 7 sur les outils de la CIA, WikiLeaks présente Vault 8. Le Project Hive ouvre le bal avec une infrastructure serveur pensée pour gérer des flottes entières de malwares, avec de multiples protections visant à masquer la présence de l’agence américaine.

En très grande majorité, les publications estampillées « Vault 7 » chez WikiLeaks se concentraient sur des implantations de malwares « côté client ». Ce qui se traduisait par des contacts physiques avec la machine, aboutissant à l’installation d’un agent logiciel capable de remplir les objectifs fixés par la CIA, le plus souvent le vol de données.

Ordinateurs, téléphones mobiles, routeurs, caméras connectées, Smart TV étaient concernés par les outils et procédures de la CIA, qui possède également de quoi couvrir ses traces. L’agence d’espionnage semble être en possession d’un très grand nombre d’outils capables de s‘adapter à presque toutes les situations. La plupart des renseignements fournis par WikiLeaks dataient de plusieurs années, mais rien n’indiquait que la CIA en avait arrêté le développement.

Contrairement à toutes les informations fournies avec Vault 7, celles de Vault 8 passent de l’autre côté du miroir. Project Hive, premier à faire les frais des nouvelles indiscrétions de WikiLeaks, se concentre ainsi sur le contrôle distant des malwares.

Une plateforme de gestion des malwares

Même si la plupart des implants préparés par la CIA requièrent un accès physique à la machine, ils avaient tous la capacité de communiquer avec un serveur de contrôle. Dans la majorité des cas, les documents de Wikileaks montraient comment un agent opérateur de la CIA ordonnait diverses tâches, notamment la récupération d’informations et l’autodestruction.

Project Hive est l’infrastructure de contrôle de ces malwares, tout du moins d’une partie d’entre eux. WikiLeaks en fournit le code source et les journaux de développement. Nul doute que beaucoup vont se pencher sur ses méandres pour en délimiter les capacités exploitables.

La documentation fournie explique très clairement le fonctionnement de Project Hive. Il permet la mise en place d’un serveur C&C (Control & Command), accompagné d’un ensemble de contre-mesures protégeant le ou les agents de la CIA. Project Hive a deux objectifs : assurer le relais des implants actifs jusqu’au stockage des informations dans des bases de données, et masquer la présence de l’agence, en empêchant toute attribution de l’adresse IP.

Du serveur privé virtuel à la base de données

La stratégie de la CIA passe par plusieurs étapes successives. Les implants vont d'abord se connecter à des serveurs privés virtuels assurant le rôle de portes d'entrées. Ils agissent comme autant de filtres. Via une authentification spécifique, les malwares sont autorisés à passer. Un internaute avec un navigateur ne verrait qu'un site web classique.

Une fois son identité confirmée, le malware accède à un serveur mandataire nommé Blot. Tel que décrit par les documents, Blot est le pivot de l'infrastructure : il dirige le malware vers les serveurs de la CIA (via Honeycomb) via une connexion sécurisée, tout servant de faux sites aux éventuels intrus, comme indiqué dans le diagramme ci-dessous :

 wikileaks project hive vault 8

Ce n'est qu'une fois arrivé jusqu'à Honeycomb que le malware pourra déverser ce qu'il a à transmettre dans la base de données de la CIA. On remarquera d'ailleurs sur le diagramme que cette voie est à sens unique : Project Hive n'aboutit qu'à un stockage d'informations. Leur exploitation fera peut-être l'objet d'une prochaine publication de WikiLeaks.

Et ce n’est pas tout. Les malwares sont signés par de faux certificats soi-disant émis par Thawte Premium Server CA, une entreprise basée à Cape Town, pour le compte de Kaspersky. Deux structures bien réelles, pour des certificats (évidemment révoqués) falsifiés, ce que Kaspersky a confirmé. Les contrôles basés sur les signatures numériques, comme ceux trouvés dans Windows (hors antivirus et analyse comportementale), pouvaient donc laisser les portes ouvertes.

La question du code source

Vault 8 représente une double cassure dans les publications de WikiLeaks. D’abord parce ces informations s’attaquent à ce qui se passe côté CIA, ensuite parce que l’organisation fournit le code source. Jamais auparavant elle n’avait fourni de données exploitables allant plus loin que la documentation et les manuels d’utilisation, déjà riches d’enseignements. Elle n’a également donné aucune précision sur d’éventuelles failles de sécurité exploitables, sauf aux entreprises concernées (notamment Cisco et Fortinet).

Quel est le risque lié à une telle publication ? Difficile à dire dans l’absolu. Officiellement, WikiLeaks précise dans son communiqué que ce code servira aux journalistes et chercheurs en sécurité qui en tireront alors ce qu’ils voudront. Volonté affichée, aider à mieux comprendre de quoi est capable la CIA. Et si code était utilisé pour des objectifs moins nobles ?

Ancien employé de la NSA et chercheur chez Rendition InfoSec, Jake Williams a donné son avis à Motherboard. Selon lui, le code de Project Hive ne semble pas dangereux. Il devrait effectivement permettre de mieux cerner les capacités de la CIA, tout en obligeant celle-ci à mener des travaux pour colmater les éventuels problèmes, puisqu’elle se retrouve exposée.

La situation serait évidemment tout autre si WikiLeaks devait publier un jour des informations plus complètes sur les malwares eux-mêmes. En tant qu’infrastructure de contrôle, Project Hive ne fournit que des capacités de gestion. Utilisé par des pirates, il lui faudrait donc quelque chose à gérer. Dans l’absolu, l’étude de son code permettrait cependant de révéler comment s’en servir, autorisant le développement de malwares adaptés.

L’analyse par les chercheurs devrait toutefois révéler certains détails plus « croustillants ». Par exemple, la possible reprise de code provenant de groupes de pirates. Un point déjà abordé par le passé, la CIA puisant dans ces ressources. Puisque les pirates font parfois preuve d’une grande ingéniosité pour parvenir à leurs fins et masquer leur présence, autant que ces compétences ne soient pas perdues.

Dans tous les cas, Project Hive n’est qu’une première publication dans ce qui promet d’être une nouvelle série de documents, révélés sans doute au rythme habituel de WikiLeaks : un peu toutes les semaines. Nul doute cependant que cette première diffusion d'informations restera l’une des plus importantes.

La CIA, quant à elle, reste sur sa ligne de communication : pas de commentaire sur les publications de WikiLeaks.

4
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Et bonne nuit les petits

00:04 Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

13:40 Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 40

Sommaire de l'article

Introduction

Une plateforme de gestion des malwares

Du serveur privé virtuel à la base de données

La question du code source

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 40
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 24

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 41
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 21
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 8
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 25
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (4)


boogieplayer
Le 11/11/2017 à 14h08

Oh. My. God.


matroska
Le 11/11/2017 à 20h43

<img data-src=" />&nbsp;<img data-src=" />&nbsp;<img data-src=" />&nbsp;<img data-src=" />


jackjack2
Le 13/11/2017 à 00h37

<img data-src=" />


data_gh0st
Le 13/11/2017 à 09h37

Vivement la suite, tiens!