Selon un document publié par The Intercept, la Russie aurait cherché à pirater plus d'une centaine de personnalités américaines locales, via une campagne de harponnage. Une attaque conçue grâce aux données dérobées à une entreprise spécialisée dans les machines de vote électronique. Une publication qui a mené à l'arrestation de la source.
The Intercept a publié hier un long article au sujet d’un rapport secret de la NSA sur une attaque qui aurait été perpétrée par le GRU, ou General Main Staff Intelligence Directorate. Il s’agit de la plus grosse agence de renseignement étranger de la Russie. Durant la seule année 1997, le GRU pouvait ainsi déployer six fois plus d’agents que le SVR, successeur du KGB. On peut la comparer à une CIA, mais rattachée directement à l’armée russe.
Dans cet article, on apprend qu’une campagne de piratage aurait été menée contre une entreprise américaine bien particulière, VR Systems, qui conçoit des machines de vote électronique et de sondage, aussi bien sur l’aspect matériel que logiciel. Ces informations auraient été transmises à The Intercept par Reality Leigh Winner, une sous-traitante de la NSA. Or, environ une heure après la publication de l’article, on apprenait qu'elle avait déjà été arrêtée.
Un piratage menant à une campagne de harponnage
Les informations de The Intercept proviennent d’un document reçu anonymement. Il s’agit d’un rapport classifié de la NSA sur des attaques ayant eu lieu au cours du dernier trimestre 2016, mais n’ayant été édité qu’en avril dernier.
Dans ce rapport, il est ainsi expliqué que le GRU se serait attaqué à VR Systems. Sept comptes email auraient été visés, et au moins un aurait été compromis. Toujours selon le document, la méthode serait similaire à celle utilisée contre des membres de l’équipe de campagne d’Hilary Clinton, où le renseignement russe était déjà suspecté.
Les informations obtenues auraient ensuite été patiemment analysées pour mettre au point une campagne de harponnage, ou spear phishing. Contrairement à une campagne classique de phishing qui fait appel à des emails relativement génériques, le harponnage est plus précis : les informations servent à personnaliser le message et donc à augmenter les chances de réussite, la victime pouvant penser que l’email s’adresse bien à elle et à personne d’autre.
Des figures politiques locales comme cibles
Cette campagne de harponnage prenait apparemment pour cible 127 personnalités politiques locales selon le rapport de la NSA. Ce dernier mentionne deux vagues d’envoi, dont la première s’est étalée entre le 31 octobre et le 1er novembre 2016.
Dans les emails envoyés, on trouvait notamment un texte personnalisé accompagné d’un document Word. Devait y être expliqué le mode d’emploi du logiciel qui permet de connaître le statut de l’enregistrement des votants. L’objectif était bien entendu de faire croire que les informations étaient tout à fait authentiques et provenaient de VR Systems, ou liées à cette entreprise.
Dans le document se trouvait a priori un code malveillant écrit en VBA (Visual Basic for Applications), autrement dit des macros. Ce dernier était conçu pour se connecter à certains sites et récupérer des malwares en vue de les installer. Malheureusement, les informations s’arrêtent ici.
Le rapport de la NSA précise en effet qu’on ne sait en l’état actuel si ces attaques ont réellement fonctionné, ou même quels sont les malwares téléchargés. On retrouve par contre les liens avant d’anciennes attaques attribuées au GRU. En outre, la présence de malwares semble avoir été établie dans une partie des cas, puisque la NSA prête à au moins l’un d’entre eux la capacité de se faire passer pour Firefox, ou au moins de tenter de le faire.
La source présumée déjà arrêtée par le FBI
Peu de temps après la publication de l’article de The Intercept, un communiqué était publié par le FBI. On peut y lire qu’une certaine Reality Leigh Winner a été arrêtée samedi 3 juin, pour avoir dérobé des informations classifiées. Elle est décrite comme sous-traitante, travaillant pour la société Pluribus International Corporation depuis février 2013. Elle possédait une autorisation de niveau Top Secret.
Toujours selon le communiqué, elle aurait imprimé ces informations le 9 mai, les gardant d’abord pour elle-même. Quelques jours plus tard, elle aurait ensuite communiqué ces documents à un site de presse qui, s’il n’est pas nommé, serait évidemment The Intercept.
Interrogée par The Guardian, la mère de la prévenue indique qu’elle ignore les raisons qui ont poussé sa fille à agir ainsi. Selon le communiqué du FBI, Reality Leigh Winner aurait déjà tout avoué, notamment l’accès aux données, leur impression, leur détention puis leur transfert à un organisme de presse dont elle savait qu’il « n’avait aucune autorisation » de les recevoir. La jeune femme a été entendue une première fois hier dans un tribunal de Géorgie. Elle risque dix ans de prison. La Russie, elle, a formellement démenti être à l'origine de ces attaques.
De The Intercept à la sous-traitante
L’histoire pose la question de la manière dont le FBI s’y est pris pour remonter aussi rapidement à Reality Leigh Winner. En fait, de nombreuses imprimantes apposent sur les documents une série de points jaunes pratiquement invisibles, permettant de savoir quand et où ils ont été imprimés. Malheureusement pour la jeune femme, le PDF publié par The Intercept contenant une version scannée des documents reçus. Ils comportaient donc les marques jaunes.
Dans le cas présent, les points indiquent que le document a été imprimé le 9 mai 2017 à 6h20 par un périphérique dont les numéros de modèle et de série sont respectivement 54 et 29535218. Il est évident que la NSA possède un journal complet de l’utilisation faite de ses imprimantes, et trouver Reality Leigh Winner n’a donc pas été compliqué. Pas plus que de la trouver puisqu’elle était à son domicile, à Augusta.
The Intercept ne s’est pas encore exprimé sur ce point, mais précisait dans son article d’hier que le document avait été reçu de manière anonyme. On s’étonne cependant que le site, cofondé notamment par le même Glenn Greenwald qui avait été le premier à interviewer Edward Snowden, ait pu publier un tel article sans avoir contrôlé le sérieux de sa source.
WikiLeaks veut châtier le journaliste responsable
Si l’on en croit WikiLeaks, la situation est un peu complexe. L’un des journalistes aurait contacté une connaissance travaillant chez un sous-traitant dont le nom n’est pas connu, pour savoir si le document était réel. Il aurait indiqué qu’il provenait d’Augusta en Géorgie. Curieusement, il aurait ensuite contacté une agence fédérale qui lui aurait indiqué que le document était authentique, avant de revenir vers sa connaissance pour lui faire part de cette information.
WikiLeaks cherche actuellement à savoir qui est ce journaliste et offre même 10 000 dollars de récompense pour le démasquer, ce qui a d’ailleurs provoqué la colère de nombreux internautes sur Twitter.
WikiLeaks issues a US$10,000 reward for information leading to the public exposure & termination of this 'reporter': https://t.co/W9wijCk5d3
— WikiLeaks (@wikileaks) 6 juin 2017
Commentaires (22)
#1
#2
franchement le traitement de ce leak démontre un amateurisme crasse tant au niveau de la source, qui a priori avait déjà contacté The Intercept depuis son poste de travail (échange sans rapport avec le leak, mais ça démontre une relation), que du journaliste qui a juste complètement doxxé sa source en balançant les documents tels quels sur le net.
résultat double: la source en taule pour des années, et The Intercept qui va avoir le plus grand mal à trouver de nouvelles sources à l’avenir.
Sans compter que les 3⁄4 des infos contenues dans l’article sont connues depuis un article du WaPo qui date d’il y a un an.
bref, du gros n’importe quoi.
#3
La source a autant foiré à être anonyme que The Intercept a foiré à protéger l’anonymat de sa source.
Les Metadata et le fingerPrinting c’est tout de même connu, surtout quand on s’appelle “The Intercept”.
#4
A ce niveau là, on se demande où est le selfie avec le document dans les mains…
#5
#6
#7
Reality Leigh Winner
Ha ben elle a tout gagné… " />
#8
Le journal a balancé son informatrice ?
Le jounaliste qui a fait ca, si ça s’avere, est une crevure et mérite d’aller en taule a sa place, après s’être fait fouetter bien correctement.
#9
Le journaliste aurait envoyé une copie du document à la NSA pour avoir confirmation qu’il était authentique. Une fois la copie du document entre ses mains, la NSA a très rapidement réduit la liste des suspects aux personnes qui avaient cherché, ouvert et imprimer ce document précisément.
#10
Ils tiennent vraiment à ne pas “assumer” leur responsabilité d’avoir provoqué sa victoire…
#11
#12
C’est assez révélateur de ce qu’est devenu Wikileaks malheureusement, certes le journaliste fait une mega bourde mais c’est même la faute de tous le journal.
Après donner le journaliste en pâture au monde est un bon moyen de détourner les gens du sujet qui est l’implication de la Russie avec beaucoup de preuves.
Finalement wikileaks devient de plus en plus “protecteur” avec la russie …
#13
>Ils comportaient donc les marques jaunes
en scannant en noir et blanc on est bon? " />
#14
vu les infos croustillantes sur les techniques de la NSA dans les docs bruts, ça m’étonnerait.
#15
Est-ce que ce sont les russes eux mêmes qui ont hacké la CIA pour dérober ce document et le divulguer ?
" />
#16
En même temps, l’histoire des points de couleur jaune sur les feuilles imprimées par les machines pro’ ne date pas d’aujourd’hui …
Il n’y a qu’a observer la baisse du niveau de toner jaune dans une imprimante pour s’apercevoir que celui-ci diminue bien plus vite, à capacité égale, que le toner noir qui est à priori bien plus utilisé.
Y’en a qui le savent et d’autres qui ne le savent pas .
Un peu d’information à ce sujet aurait permis de ne pas serrer cette charmante débutante aussi facilement …
" />
#17
#18
#19
#20
y’a tout un tas d’infos sur les techniques de contre-intelligence et d’enquête de la NSA dans ces docs (d’où la classification TI/SI).
c’est certes pas des infos “techniques” ou carrément des outils comme les dumps que tu cites, mais c’est toujours des trucs utiles aux services de renseignement russes pour affiner leurs processus, savoir quels sont les trucs à laisser tomber et où remuer le couteau dans la plaie. de ce point de vue il semble peu probable que ça soit un coup des US pour pouvoir accuser les russes.
Quant à la chasse aux sorcières de Trump, vu l’artiste, elle concerne exclusivement les mecs de son administration qui leakent sur lui. Avant il s’en foutait, y’a pas 6 mois il applaudissait des deux mains les leaks de WL sur Clinton.
ça montre la grande constance du monsieur, qui doit à l’heure actuelle se tortiller devant son 60’ tout neuf en regardant Comey témoigner devant le Congrès." />
#21
le pire étant que The Intercept (enfin First Look Media, mais c’est le même groupe) a un responsable de la sécu info qui est loin d’être une chèvre: Morgan Marquis-Boire.
visiblement le journaliste de TI a pas suivi les directives en termes d’OPSEC. " />
#22
Je ne connaissais pas le bonhomme, mais il a effectivement un joli pédigrée .. " />