WikiLeaks a publié hier soir de nouveaux documents sur la CIA, toujours à travers le projet Vault 7 visant à exposer le cyberarsenal de l’agence américaine. Cette fois, l’organisation dévoile BothanSpy et Gyrfalcon, deux outils conçus pour dérober les identifiants SSH.

Chaque semaine, WikiLeaks publie de nouveaux documents dans la série Vault 7, qui vise à montrer de quoi est capable la CIA quand elle cherche à obtenir des informations. Voitures autonomes, téléviseurs connectés, fausses applications Windows, implants dans les machines clientes ou serveurs, masquage des traces, contamination de routeurs et autres ont ainsi déjà été dévoilés par WikiLeaks, qui continue sur un rythme hebdomadaire son travail de sape.

La publication de cette semaine concerne trois documents portant sur deux outils conçus pour saisir les identifiants SSH (Secure Shell). La CIA est a priori parée pour les machines sous Windows et Linux, probablement pour pouvoir atteindre un maximum de clients (Windows) et de serveurs (Linux).

BothanSpy s’attaque à Windows…

La plupart des outils de la CIA visent Windows, sans doute pour des questions de parts de marché. L’immense majorité des ordinateurs embarque le système de Microsoft et, de la même manière que la plupart des malwares le ciblent, la CIA cherche sans doute à rentabiliser ses investissements.

BothanSpy est donc un implant pour Windows conçu pour dérober des identifiants SSH en s’attaquant au client Xshell, un émulateur de terminal compatible avec SSH, SFTP, TELNET, RLOGIN et SERIAL. Si l’implant arrive à s’activer (sous forme principalement d’une bibliothèque DLL), toutes les sessions SSH en cours peuvent en théorie être atteintes.

La nature des identifiants peut changer, selon le contexte. Dans le cas d’une connexion SSH protégée par mot de passe, BothanSpy récupère ce dernier ainsi que l’identifiant. S’il s’agit d’une infrastructure à clé publique, l’implant capte le fichier ou la clé SSH privée, ainsi que le mot de passe. Dans les deux cas, BothanSpy peut soit exfiltrer les données vers un serveur appartenant à la CIA (sans toucher au disque de stockage), soit au contraire enregistrer les données localement (avec un chiffrement AES) en vue d’une récupération ultérieure.

D’après le document qui le concerne, la version 1.0 de BothanSpy était prête en mars 2015 et était donc assez récente. Puisque aucune autre information n’est fournie, on peut supposer que le travail a continué et que la CIA a mis à jour son outil, notamment pour tenir compte de la sortie de Windows 10.

Il faut noter cependant que ce n’est pas directement le système qui est visé. Le document précise très clairement que BothanSpy ne fonctionne que si le client tiers Xshell est installé, jusqu’à la version 5 actuellement commercialisée. En outre, au moins une connexion SSH doit être active. Ajoutons enfin que le nom même de « BothanSpy » est une référence directe à Star Wars. Le document contient d’ailleurs une célèbre réplique du Retour du Jedi : « Many Bothan spies will die to bring you this information, remember their sacrifice ».

… tandis que Gyrfalcon vise Linux

Gyrfalcon est un autre implant, mais qui vise cette fois le client OpenSSH, que l’on retrouve dans bon nombre de distributions GNU Linux, notamment Debian, Ubuntu, Suse, RHEL ou encore CentOS. Ses capacités d’exfiltration sont plus limitées que l’implant visant Windows, puisqu’il ne peut qu’enregistrer les données localement afin qu’elles soient récupérées plus tard. Gyrfalcon peut faire cependant plus de dégâts.

Tout comme BothanSpy, il peut récupérer les identifiants dans les connexions SSH actives. L’enregistrement des données est là encore chiffré en AES. Mais il peut aussi capter tout ou partie du trafic OpenSSH sur ces mêmes connexions, ce qui le rend plus dangereux, l’implant réalisant le vol d’identifiants et de données dans la foulée. Pour la CIA, il s’agit d’un outil deux en un, puisque les agents impliqués n’auront à revenir plus tard avec les identifiants pour dérober eux-mêmes les informations.

Il semble que l’implant soit l’objet d’un développement conséquent puisque sa version 1.0 est parue, selon les documents, en janvier 2013, tandis qu’une version 2.0 sortait en novembre de la même année. Chaque mouture dispose d’ailleurs de son propre guide d’utilisation.

Dans celui de Gyrfalcon 2.0, on peut lire qu’il est recommandé à l’agent manipulant l’implant de bien connaitre l’environnement Linux/Unix (32 ou 64 bits). Par ailleurs, l’installation de Gyrfalcon nécessite des droits root, bien que l’implant lui-même n’en ait pas besoin ensuite pour fonctionner. Page 6, le manuel indique que l’agent doit connaître aussi le rootkit JQC/KitV, qui le maintiendra à couvert pendant la durée des opérations.

Là encore, rien ne permet d’affirmer que la CIA s’est contentée de deux versions de cet outil. On peut donc encore supposer que le travail a continué et que d’autres versions sont sorties au cours des quatre dernières années.

Une forme de désarmement forcé pour les agences américaines

Que ce soit la CIA avec WikiLeaks, ou la NSA avec les Shadow Brokers, les agences américaines de sécurité et de renseignement sont sous le coup d’une sorte de désarmement. Semaine après semaine, l’exposition des outils, techniques, documents et failles diminue la valeur de leur stock de cyberarmes.

Les deux cas sont cependant différents. La CIA, comme on a pu le voir avec les nombreuses informations publiées par WikiLeaks, dispose de techniques réclamant un accès physique à la machine et moins dépendantes des failles de sécurité que la NSA. Cette dernière, au contraire, possède une importante réserve de vulnérabilités, dont la divulgation peut entraîner de vastes dégâts, comme on a pu le voir avec WannaCry.

Notez que dans les deux cas, aucune agence ne s’est exprimée sur les multiples fuites de ces derniers mois.