Les derniers documents de la série Vault 7 publiés par WikiLeaks montrent comment la CIA peut être amenée à devoir éteindre des caméras connectées, en fonction de ses missions. La technique passe par une clé USB contenant un malware pour Windows, nécessitant donc une intervention physique.
Tout le monde a déjà vu au moins un film dans lequel un agent, un héros ou un méchant s’attaque à un système informatique, en vue de désactiver des caméras de sécurité. Généralement précédée d’une réplique dont les scénaristes aiment abuser (« Je suis dans le système ! »), la technique permet ensuite de s’introduire dans un lieu où l'on n'est pas censé être.
Si certains spectateurs se posaient la question, ces techniques existent bel et bien, tout du moins à la CIA. C’est ce que révèlent les derniers documents publiés par WikiLeaks dans la série Vault 7 consacrée aux stratégies et outils de l’agence américaine.
Un éléphant ça trompe énormément
Ce dernier lâcher de documents porte le nom de Dumbo. Ils désignent une technique autant qu’un outil, permettant à la CIA de désactiver des caméras de sécurité pour intervenir sur un site où d’autres opérations nécessitent que ces yeux ne soient plus opérationnels. Il est censé pouvoir fonctionner sur toutes les versions de Windows, à l’exception des versions antérieures à Windows XP et de la mouture 64 bits de ce dernier.
Dumbo, puisque c’est son nom, permet donc à un agent de couper ces caméras à condition qu’elles soient gérées par une ou plusieurs machines sous Windows. L’outil est présent sur une clé USB qui nécessite donc d’être branchée sur site, avec un accès physique à l’ordinateur ciblé.
Une fois en place, Dumbo agit comme un malware et cherche le parc de caméras. Il peut dès lors désactiver les interfaces réseau, couper tous les microphones, suspendre tous les processus liés à l’enregistrement vidéo ou même s’attaquer directement aux sauvegardes, qu’il peut effacer ou « simplement » corrompre pour les rendre illisibles. Le type de connexion n’est pas important, puisque Dumbo gère aussi bien Ethernet que le Wi-Fi, tout comme le Bluetooth.
Cependant, les documents font état de deux limitations. La première est qu’en plus d’un accès physique, l’agent responsable de l’opération doit veiller à ce que la clé USB reste branchée pendant toute la durée de l’intervention. Il doit donc passer par un modèle particulièrement discret ou s’arranger pour rester présent dans la pièce. L’autre souci éventuel est que Dumbo nécessite d’avoir les privilèges maximaux pour fonctionner.
Dumbo émane d’une section particulière de la CIA nommée Physical Access Group, ou PAG. Comme son nom l’indique, il s’occupe exclusivement d’outils requérant un accès physique aux machines. Leurs capacités sont souvent plus évoluées, mais ils permettant surtout de s’attaquer à des systèmes qui ne sont pas accessibles par le réseau, en particulier ceux dédiés à la sécurité.
Un outil lié aux autres
Nos lecteurs ayant suivi la longue série de documents Vault 7 se souviendront peut-être qu’une bonne partie des techniques de la CIA exposées par WikiLeaks réclament un accès physique à une ou plusieurs machines.
De fait, Dumbo est un peu le chainon manquant : puisqu’il permet de couper les caméras de sécurité, il facilite les interventions sur site. On se souvient par exemple de l’outil permettant d’implanter des malwares sur des serveurs Windows ou Linux, ou encore de celui taillé pour contaminer des téléviseurs connectés Samsung. Sans caméras, ces opérations sont d’autant plus simples, surtout quand il s’agit de brancher une « simple » clé USB.
En outre, il semble davantage évident que les révélations précédentes que la CIA continue d’investir dans Dumbo. Dans les documents publiés, on trouve ainsi une référence à la version 3.0 de l’outil, publiée en juillet 2015. Ce ne sont toutefois que des suppositions, comme pour les précédents articles.
À l’instar de la NSA et des diffusions de masse par les pirates Shadow Brokers, on continue d’assister à une certaine forme de désarmement forcé d’une agence américaine. La situation est cependant différente pour la CIA, puisque les informations révélées ne font pas état de failles exploitables. Il ne s’agit donc pas simplement de colmater des brèches pour améliorer la sécurité générale. En outre, les opérations de la CIA sont très différentes de celles de la NSA. Ainsi, là où cette dernière dispose d’outils de surveillance de masse (de type PRISM), l’autre intervient de manière beaucoup plus ciblée.
Commentaires (58)
#1
S’il faut s’introduire sur site pour couper les caméras, et couper les caméras pour s’introduire sur site, je ne vois pas comment on peut bootstraper !
#2
Vault 7 : Dumbo, l’outil de la CIA pour couper les caméras de sécurité
Ah ! Ah ! Les nazes ! Babar leur faisait de l’ombre…
#3
Mais il sait corrompre ou détruire les vidéos sauvegardées, du coup, ça marche.
#4
Encore plus s’il faut avoir les privilèges maximum sur la machine…
#5
L’intervention physique doit limiter ce type d’opérations non ? Ou alors il y a des taupes partout ?
#6
« Cependant, les documents font état de deux limitations. La première est qu’en plus d’un accès physique, l’agent responsable de l’opération doit veiller à ce que la clé USB reste branchée pendant toute la durée de l’intervention. »
J’ai vraiment du mal à croire la véracité de la fuite, juste à cause de cette affirmation qui est un peu du foutage de gueule …
#7
#8
Finalement on croyait que c’était abusé dans les films quand ils faisaient ça. En fait non " />
#9
Du coup, quand on nous vend la vidéosurveillance comme la panacée de la protection, on se fout ouvertement de nous! " />
D’autant plus que maintenant le bidule est libre d’accès pour le crime organisé et les terros.
#10
#11
whaaa, ça c’est du gros malware de ouf…
Faut juste avoir accès a un pc qui peut piloter les camera, un account admin, un port usb, et du temps :o
#12
#13
C’est la CIA: infiltrer des agents quelque-part c’est leur boulot (installateur, techniciens de maintenance, opérateurs, livreur de pizza…).
Leur objectif n’est pas de hacker secrètement à distance depuis un autre continent.
#14
#15
#16
Je sais que ce n’est pas de la science-fiction. J’ai vu Mr. Robot " />
Je ne pensais pas qu’il suffisait de faire traîner une clé USB pour infecter un système. Mais je suis probablement trop naïf.
#17
Les différentes expérimentations qui ont été faites sur le sujet montre plutôt un taux de succès de l’ordre de 50%, et qui décroît fortement lorsque le personnel a été sensibilisé au problème.
#18
#19
Dans n’importe quel système sensible, comme l’est un système de surveillance, le stockage USB est désactivé, l’accès au bios protégé et le compte de l’utilisateur n’est pas administrateur.
Si une de ces trois règles ne sont pas appliqués, alors le DSI ne fait pas correctement son travail.
#20
#21
#22
#23
#24
#25
Vous croyez que tous les pcs de la planète sont sécurisés par Geek 2.0 ? " />
Et sans admin local ?
Et avec l’UAC ?
Et poste verrouillé ?
Et sans pouvoir mater le contenu d’une “super clef usb” ?
#26
#27
#28
#29
#30
#31
#32
#33
#34
#35
#36
#37
#38
#39
#40
" /> " /> " /> " />
" />
#41
#42
Merci de ne pas confondre participe présent (abusant) et participe passé (abusé).
#43
#44
Le Physical Access Group a l’habitude d’intercepter du matos neuf entre le fabricant et la livraison.
Avec un reconditionnement parfait etc
Ils peuvent donc avoir un accès physique a la machine, et par exemple dans ce cas, installer la clé usb sur un port interne de la carte mère
#45
WannaCry a justement démontré que beaucoup d’entreprises ont appris la sécurité à leurs dépends.
Et à titre d’exemple, celle où je suis en ce moment est passée en mode parano suite à plusieurs attaques qui ont généré des impacts business… Mais ça n’empêche pas de voir des PC seuls non verrouillés. " />
On peut faire tout ce qu’on veut, la faille reste l’utilisateur.
#46
L’utilisateur a bon dos.
En entreprise, un ordinateur est un outil de travail au même titre qu’une voiture et c’est ton patron qui déclare ce que tu peux ou ne pas faire avec. Par exemple, dans ma boite on doit se garer en marche à arrière alors que le code de la route ne l’impose pas.
Il est tout à fait possible à une entreprise d’imposer un verrouillage automatique au bout de 2 minutes d’inactivité ou bien d’interdire que les utilisateurs se servent d’un compte avec les droits administrateurs.
#47
#48
Après une recherche rapide sur google, j’ai l’impression que c’est bien la CIA.
#49
#50
#51
#52
#53
Pour la question des sauvegardes régulières, s’ils se sont assez renseignés, ils arrivent juste après l’heure de sauvegarde, branchent leur machin, et il reste seulement des vidéos illisibles de leur heure de passage quand ils repartent.
C’est une question de renseignement et de timing, je pense que c’est à la portée des agents de la CIA.
#54
Ouai j’ai lu le truc, ça fait assez peur. Notamment caril n’y a pas de protection possible (et accessible), puisque il faut bien des ports USB d’activé pour clavier / souris.
#55
l’USB n’est pas encore obligatoire " />
#56
Ouai enfin les ports PS/2 c’est plut trop utilisé depuis quelques années.
Normalement…. " />
#57
#58