Vault 7 : la CIA puise son inspiration dans les malwares, avec l’aide d’une entreprise

Les derniers documents publiés par WikiLeaks montrent comment la CIA surveille les développements dans le petit monde des malwares, pour s’en inspirer. Elle s’entoure même d'au moins une entreprise extérieure pour l’aider à rassembler les bonnes idées et se tenir informée.

Pour la 18e semaine consécutive, Wikileaks publie des informations sur le fonctionnement de la CIA (Central Intelligence Agency), plus particulièrement ses techniques et outils destinés au piratage des machines ciblées. Contrairement à la NSA qui dispose de programmes massifs de collectes (comme PRISM), l’agence de renseignement se focalise sur des objectifs plus précis.

On l’a vu au cours des semaines précédentes avec le projet Vault 7 de WikiLeaks, la CIA peut s’attaquer à toute sorte d’appareils, des ordinateurs clients sous Windows aux serveurs Linux, en passant par les téléviseurs connectés ou les voitures autonomes. Les derniers documents plongent cependant sur la collecte d’informations dans les malwares récupérés pour parfaire ses propres outils de piratage. Si l’on en croit ces éléments, elle demande même une aide extérieure pour accélérer cette phase.

Le groupe Umbrage et la collecte d’informations

Que la CIA dispose d’outils spécifiques pour chaque type d’opération qu’elle doit mener n’est pas une nouveauté. Les documents fournis jusqu’à présent sont éloquents, jusque dans les manuels d’utilisation préparés pour ses agents. Ces outils, techniques et manuels posent cependant la question de la conception de tout ce matériel : comment procède la CIA ?

On savait déjà que l’agence procédait par analyse des mouvements dans le monde de la sécurité. Elle se tient informée de tous les derniers développements et repère les techniques qui peuvent lui servir. Une équipe spécifique, nommée Umbrage, est chargée de cette tâche.

Selon WikiLeaks, Umbrage a principalement deux missions. La première est d’analyser des malwares récupérés de diverses manières pour examiner leur fonctionnement. Si des éléments intéressants sont trouvés, ils sont isolés pour être utilisés plus tard. La seconde consiste à créer des petits bouts de code (snippets) qui pourront ensuite être « rapidement combinés en solutions personnalisées ». Elle produit donc en quelque sorte des « radicaux libres » pouvant s’assembler en fonction des besoins.

L’ensemble des informations est réuni dans l’Umbrage Component Library, ou UCL. On y trouve les snippets, la documentation pour décrire chacun d’entre eux, des exemples et ainsi de suite. En somme, un projet commun entreposé sur un dépôt git, avec tout ce que l’on y trouve habituellement.

Quand soudain, l’oiseau noir

Mais les denières pièces révélés par WikiLeaks montrent que la phase de collecte des informations dépasse probablement les seules compétences de la CIA. Que la raison soit qualitative ou quantitative, elle ferait appel à la société Raytheon Blackbird Technologies pour compléter son propre travail.

RBT a fourni à la CIA des dizaines de rapports entre novembre 2014 et septembre 2015, soit moins d’un an. Une fréquence élevée qui confirmerait tout l’intérêt de l’agence américaine pour les techniques avancées utilisées par certains malwares. Toujours selon WikiLeaks, ces rapports étaient envoyés à la Remote Development Branch, en charge de la conception des outils, grâce au code versé par Umbrage dans l’UCL.

WikiLeaks donne le détail de nombreux rapports. Dans l'un d'eux, RBT aurait ainsi fourni les détails de HTTPBrowser Remote Access Tool (RAT). A priori développé en 2015, il s’agissait d’un enregistreur de frappes au clavier. Dans un autre, un RAT nommé NfLog permettait de récupérer de nombreuses informations, particulièrement quand il était couplé avec d’autres moyens, comme une faille Flash et une technique pour contourner l’UAC de Windows. Regin (apparemment créé par la NSA), HammerToss (qui viendrait de Russie) ou encore le cheval de Troie Gamker ont fait l'objet d'autres rapports.

Rien ne se perd, rien ne se crée

Les derniers documents de WikiLeaks montrent encore une fois qu’en matière de sécurité, comme pour tant d’autres domaines, il n’y a pas de création depuis une feuille blanche. La CIA puise son inspiration dans ce qu’elle repère dans les malwares, ce qui n’a rien d’étonnant.

Il est difficile ici de faire une séparation stricte entre les groupes de pirates « classiques » et le travail réalisé par les agences de renseignement. Il existe toutefois un point commun évident : tout ce monde s’observe. Il n’y a aucune raison que la CIA, qui cherche dans tous les cas à renforcer son cyberarsenal, ne se renseigne pas sur les techniques utilisées par des pirates, qui peuvent ou non être proches d’agences étrangères.

La situation n’est en fait pas différente du traitement des failles de sécurité. Ces brèches, après lesquelles courent tant les éditeurs concernés, sont une précieuse denrée pour tous ceux qui cherchent à s’introduire dans des systèmes, quelle que soit leur forme. Puisqu’on sait que l’armée américaine et les agences fédérales cherchent, stockent, voire achètent ces failles, il n’y aucune raison de passer à côté des techniques utilisées dans les malwares.

Cette collecte de renseignements a d’ailleurs de multiples « avantages ». La CIA peut ainsi se tenir informée des dernières tendances dans ce domaine, à la manière de n’importe quelle société de sécurité. L’analyse du code et du fonctionnement peuvent en outre lui permettre de résoudre d’éventuels problèmes et de renforcer ses propres capacités. Exemple concret, l’analyse des malwares peut montrer comment les pirates s’y prennent pour percer les défenses des versions les plus récentes des systèmes, des centaines de failles étant colmatées chaque année.

Enfin, l’existence d’entreprises telles que Raytheon Blackbird Technologies n’est pas une surprise ; puisque des sociétés existent déjà pour collecter les failles de sécurité. Comment par exemple ne pas penser à Zerodium, qui offrait un million de dollars l’automne dernier en échange d’une faille 0-day fonctionnelle dans iOS 10, alors tout juste sorti ? RBT, pour sa part, fournit d’après son site officiel du « capacités pour les opérations spéciales en renseignement, surveillance et reconnaissance tactiques ». Une activité commerciale comme une autre.