Fuites de la CIA : entre menace et chance pour la cybersécurité
S’il n’y a rien de surprenant à ce qu’une agence du renseignement espionne, il est plus étant qu’elle ne parvienne pas à protéger son infrastructure au point que puissent lui être volés des actifs informationnels critiques. Mais c’est peut-être une chance pour toute l’industrie IT.
Wikileaks vient de commencer à distiller une vaste quantité de documents plus que sensibles dérobés à la CIA, dite « Vault 7 » : la première série rendue publique ce mardi 7 mars porte sur près de 8800 documents et fichiers venus « d’un réseau isolé de haute sécurité du centre de renseignement cyber de la CIA, à Langley ». Et ce ne serait qu’un début : selon Wikileaks, « la CIA a récemment perdu le contrôle de la majorité de son arsenal de piratage, dont des logiciels malveillants, des virus, des chevaux de Troie, des exploits ‘zero day’ militarisés, des systèmes de contrôle à distance de logiciels malveillants, et la documentation associée ».
Un autre géant aux pieds d’argile
Comme la NSA avant elle, l’agence centrale américaine du renseignement apparaît aujourd’hui bien plus vulnérable qu’elle ne le souhaiterait probablement. De rappeler, au passage, le côté illusoire de l’isolation physique des systèmes informatiques en matière de sécurisation. Fin 2015, Lexsi (passé depuis dans le giron d’Orange Business Services) soulignait d’ailleurs que l’absence d’antivirus actif et à jour sur les postes de travail et serveurs des systèmes industriels en airgap avait « engendré, pour 50 % des cas, la présence du ver Conficker sur des postes de supervision industrielle ».
Matthew Ravden, vice-président de Balabit, ne manque de souligner « l’ironie » de la situation pour une agence capable de pirater un très large éventail de systèmes informatiques mais pas « de détecter un accès inhabituel à l’un de ses serveurs ou une exfiltration de données ». Pour lui, c’est bien simples, « les leçons tirées de l’affaire Snowden n’ont pas été suivies, et une meilleure technologie de surveillance et d’analyse et nécessaire pour empêcher de telles fuites de se produire ».
Et l’ironie semble d’autant plus grande que la CIA apparaît disposer, dans son arsenal rendu public, de logiciels malveillants dédiés aux systèmes sans connectivité extérieure, isolés en airgap.
Une menace renforcée pour tous
Pour Julian Assange, cette fuite massive de cyberarmes souligne le risque « extrême de prolifération » induit par leur seul développement. Mais il n’est pas seul à penser ainsi. Déjà en mars 2014, Art Coviello, alors président exécutif de RSA, appelait au bannissement de cyberarmes dont « personne ne tire avantage », disait-il alors. Mais déjà en 2010, Eugène Kaspersky ne disait pas autre chose, soulignant que tout logiciel espion d’état « finira par tomber dans les mains de cybercriminels ». Mais l’inverse est vrai aussi : la CIA ne s’est pas privée de réutiliser, pour son arsenal, des composants malveillants connus.
Reste que le développement de tels logiciels malveillants et mouchards n’est pas une surprise. Les autorités françaises peuvent disposer de leurs propres logiciels espions depuis 2011. Mais comme le relèvent les équipes de ProtonMail dans un billet de blog, le chiffrement de bout-en-bout s’est généralisé depuis les révélations sur les activités de la NSA, poussant les services de renseignement du monde entier à « se concentrer sur la production de logiciels malveillants pour attaquer les appareils des utilisateurs finaux ».
Avant peut-être un effet salvateur
L’étendu de l’arsenal de la CIA dévoilé par Wikileaks a de quoi impressionner. Sans surprise, on y trouve des composants malicieux pour Android, iOS, Windows, macOS, Solaris, FreeBSD, mais aussi les téléviseurs connectés Samsung, ou encore des voitures connectées. Mais les documents dévoilés par Wikileaks font également apparaître des travaux portant sur des matériels réseau de différents équipementiers, sur des distributions Linux CentOS, Debian et Ubuntu, les serveurs Exchange, ou encore les logiciels de protection contre les logiciels malveillants.
Dans un premier temps, les vulnérabilités divulguées et non déjà corrigées sont susceptibles de renforcer la menace sur l’ensemble des utilisateurs de matériels et de logiciels concernés. Mais les industriels sont déjà sur le qui-vive. Apple assure ainsi que nombre des vulnérabilités décrites dans les documents dévoilées par Wikileaks ont déjà été corrigées, au moins dans sa dernière version d’iOS, tandis que Microsoft et Samsung ont indiqué s’être mis au travail.
Mais ce n’est pas la première fois qu’une trousse à outils de piratage se retrouve dans la nature. Les italiens de Hacking Team en avaient fait l’expérience en juillet 2015, dénonçant un piratage générant une « situation extrêmement dangereuse ». Reste que les éditeurs concernés par les vulnérabilités exploitées par Hacking Team n’ont pas manqué de réagir. Et rapidement, les correctifs ont été distribués, contribuant à améliorer, dans son ensemble, la sécurité informatique. A charge à chacun, ensuite, de les installer. A condition de pouvoir y accéder comme cela peut être hélas souvent problématique dans l’univers Android.