Vault 7: nouvelles révélations de WikiLeaks sur les programmes de piratage de la CIA

Nouveau coup dur pour l’agence de renseignement américaine: l’organisation de Julian Assange a diffusé le troisième volet de révélations, intitulé « Marble », qui contient 676 codes sources utilisés par l'agence pour l'espionnage pour empêcher les enquêteurs de remonter l'origine des virus, trojans et autres attaques de piratage initiées par ses agents.

Les espions ont, de tout temps, entretenu l’art du camouflage, du déguisement et du travestissement, afin de n’être ni repérés ni identifiés, voire de tenter de faire attribuer leurs actions à d’autres. En informatique, on parle d’obfuscation (ou d’obscurcissement) pour qualifier les procédés visant à permettre à un logiciel de se fondre dans la masse, de brouiller les pistes et de masquer les traces pouvant potentiellement permettre d’identifier sa provenance, son auteur, voire ses fonctions cachées.

Les 676 fichiers que WikiLeaks rend publics ce vendredi, et que les quotidiens français Libération, Mediapart; et la Repubblica en Italie ont pu consulter, proviennent précisément du logiciel d’obfuscation utilisé par la CIA, intitulé Marble Framework. Son existence avait été révélée le 7 mars, lorsque l’organisation de Julian Assange avait commencé à dévoiler, sous le nom de code « Vault 7 », plusieurs milliers de documents issus de l’encyclopédie collaborative – en mode « wiki » – des hackers de la CIA. A la manière d’un menu dans un restaurant, ce wiki décrit toutes sortes de logiciels espions utilisés voire développés par l’agence américaine, mais sans pour autant en détailler les recettes ni l’intégralité des ingrédients.

En rendant publics ces 676 codes source, WikiLeaks explique aujourd’hui vouloir aider les experts ès logiciels espions et les éditeurs d’antivirus à identifier plus facilement les logiciels malveillants (malwares) émanant de la CIA, qu’ils auraient pu voir passer sans pour autant être en mesure de pouvoir les attribuer à telle ou telle organisation.

Billard à trois bandes

L’attribution d’un logiciel espion, ou d’une attaque informatique, est en effet toujours sujette à caution. Bernard Barbier, ancien responsable de la direction technique de la DGSE, le renseignement extérieur français, avait ainsi expliqué en septembre 2015 à France 2 et Libération que « ces virus que les pays développent, vous pouvez les récupérer, les analyser et les réutiliser pour attaquer un autre pays. A ce titre, les Chinois ont bon dos : beaucoup de pays se font passer pour des Chinois ! »

L’examen du code source de Marble révèle à ce titre qu’il permet de rajouter des mots en arabe, chinois, russe, coréen ou farsi, mais également, et dans un second temps, précise WikiLeaks, de tenter de masquer l’utilisation de ces langues étrangères, afin de complexifier encore la possibilité d’une attribution. Sorte de double jeu, ou de billard à trois bandes, qu’affectionnent tout particulièrement les services de renseignement.

Le porte-parole d’Emmanuel Macron, Richard Ferrand, avait ainsi dénoncé, en février, le fait que la Russie tenterait de déstabiliser la présidentielle en France, au motif que la moitié des attaques informatiques dont le site En-marche.fr faisait l’objet provenaient d’Ukraine… Ce qui ne prouve rien.

Les pirates informatiques prennent en effet un malin plaisir à faire transiter leurs attaques par des ordinateurs situés dans plusieurs pays étrangers afin de brouiller les pistes, voire d’essayer de faire attribuer leurs attaques à des pays qui n’y sont pour rien. Depuis la série de piratages informatiques ayant visé le Parti démocrate aux Etats-Unis, attribuée aux hackers des services de renseignement russes, ces derniers sont accusés de tous les maux et passent pour les nouveaux idiots de la « cyberguerre ». Pour autant, comme WikiLeaks le révélait le mois dernier avec Libération, que la CIA avait elle aussi demandé à la NSA d’espionner la présidentielle de 2012.

Du fait de ces difficultés d’attribution, les éditeurs d’antivirus ne vont généralement pas jusqu’à officiellement lier des pirates à des Etats. Mais les faisceaux d’indices qu’ils recueillent laissent parfois peu de doutes, comme ce fut le cas avec la série de logiciels espions « Dino », « Babar », « Casper » ou « Bunny » du groupe AnimalFarm, attribuée au renseignement français.

Savoir qui espionne quoi

La surveillance des signatures de logiciels malveillants permet aussi aux services de renseignement de savoir qui espionne quoi. C’est ainsi que la DGSE avait découvert qu’Areva avait été attaquée par des Chinois, ou encore que la NSA avait espionné l’Elysée en 2012. En révélant ces codes sources, WikiLeaks aidera donc aussi les hackers d’Etat à identifier les cibles de la CIA, nouvel entrant dans la liste des acteurs « outés » du cyberespionnage.

Dans sa première livraison, l’organisation d’Assange précisait avoir anonymisé près de 71.000 noms, adresses mail et adresses IP (qui identifient les ordinateurs sur Internet) dans les milliers de documents de la CIA qu’elle révélait. La comparaison des modes d’emploi publiés début mars et des codes sources dévoilés ce jour montre que WikiLeaks a aussi expurgé les fichiers exécutables (.exe) permettant d’utiliser le logiciel.

Un peu comme si le site exposait les pièces détachées, mais sans le moteur permettant de les faire fonctionner. Une chose est d’aider les chasseurs de malwares à identifier ceux qui émaneraient de la CIA, une autre serait de contribuer à la prolifération de ce type de logiciel espion.