Cette série d’article est consacrée à « Vault 7 », une longue série de documents fuités par Wikileaks et concernant la CIA et ses immenses capacités d’espionnages. Lire la première partie, concernant les failles 0Day ici.

Les backdoors sont des accès cachés à l’utilisateur, dans une application afin de prendre le contrôle d’un système. On accuse régulièrement des éditeurs de logiciels (Google, Apple, Microsoft,…) de mettre des backdoors en place pour permettre aux renseignements d’accéder aux données des utilisateurs. Mais lorsque ces éditeurs deviennent frileux (c’était, au moins en apparence, le cas après les révélations de Snowden, la vie privée était devenu un argument marketing), les agences de renseignements peuvent tenter d’infiltrer un développeur dans une société informatique ou de soudoyer quelqu’un qui y travaille afin de mettre en place une backdoor à l’insu même de l’éditeur. Ces faits sont confirmés par les documents de Vault7.

Un autre type d’attaque consiste à attaquer des ordinateurs qui ne sont pas connectés à internet. A cette fin, plusieurs attaques ont été imaginées. L’une d’entre elles est un ensemble d’applications portables vérolées (comme VLC, Chrome, Thunderbird, 7Zip…) qui, une fois placée sur une clé USB, seront lancées sur l’ordinateur de la cible. Tout en se lançant normalement, elles extrairont des données vers la clé USB. La CIA a également développé un système pour infecter des CD et DVD « vierges » sans que cela ne soit détecté par le logiciel de gravure.

La CIA a également développé énormément d’attaques visant les appareils sous android. Par exemple, la faille Spottsroide permet d’activer le mode « Moniteur Wifi » d’un appareil et ainsi de voler des données circulant sur un réseau wifi (et donc, possiblement depuis d’autres appareils connectés sur le même réseau. Spottsroide pouvait entre autres être activé à travers le lecteur de musique Apollo (installé par défaut sous les roms Cyanogenmod).

Le cadre légal qui entoure les agences américaines a été modifié suite à l’affaire Snowden. Les agences sont théoriquement obligées de rapporter les failles informatiques dont elles connaissent l’existence afin d’éviter qu’elles ne servent à une puissance « ennemie ». La CIA a créé un réseau interne à elle-même afin de dissimuler ces failles, un comportement dangereux compte tenu du nombre de personnes qui avaient accès à ces failles (5000 à la CIA, plus les personnes qui ont découvert ces failles en-dehors de l’agence). D’autres scandales politiques couvent après la révélation des documents: on y découvre par exemple que la CIA, lorsqu’elle ne peut pas rester indétectable en faisant une cyber-attaque, laisse des traces numériques caractéristiques d’autres agences, et fait croire que l’attaque a été opérée par un autre pays (nommément, la Russie).

CIA – Information Operations Center

Quelque 16 personnes ont été blessées, dont au moins cinq par des balles en caoutchouc, sur la place du 25 mai de Buenos Aires transformée un champ de bataille à l’issue de la marche massive organisée hier par la 31e Conférence nationale des femmes. Les incidents ont commencé à 21h30, lorsqu’une partie des 70.000 manifestantes a forcé la barrière protégeant la cathédrale de Buenos Aires. Une centaines de membres de divers services des forces de sécurité se sont interposés, faisant un usage massif de balles en caoutchouc et de gaz lacrymogènes. La manifestation revendiquait la fin de la violence contre les femmes, le droit à l’avortement libre, sûr et gratuit; la fixation du salaire minimum égal au besoins de base d’une famille.

Les affrontements du 8 mars à Buenos Aires

Des agriculteurs, venus principalement de l’île de Crète, se sont affrontés hier mercredi avec les forces de l’ordre lors d’une manifestation contre l’augmentation des cotisations sociales et de l’imposition de leurs revenus. Environ un millier d’agriculteurs s’étaient rassemblés tôt manifester devant le ministère de l’Agriculture protégé par d’importantes forces policières. Les incidents ont commencé quand des hauts responsables du ministère ont refusé de rencontrer une délégation des manifestants. Certains agriculteurs ont brisé avec leurs bâtons les vitres de deux fourgonnettes de la police, déclenchant les affrontements. Les agriculteurs réclament le retrait de nouvelles mesures de rigueur, votées l’année dernière par le gouvernement de gauche, sous la pression des créanciers, UE et FMI. Ces mesures comprennent une réforme de la sécurité sociale et de l’imposition.

Les incidents hier à Athènes

La nouvelle version du système d’exploitation ultra-sécurisé Tails est sortie ce 8 mars. Au menu des changements: Tails 2.11 sera la dernière version à supporter I2P, un réseau d’anonymisation autrefois beaucoup plus populaire (qui n’a plus été mis à jour depuis un an). Tails explique cette fin de support par le temps et le risque que prennent le maintien de tels logiciels. Tails a d’abord tenté de trouver un développeur pour s’en charger. Tails maintient cependant que si un développeur veut s’en charger, il sera le bienvenu.

Autres changements: les utilisateurs utilisant un processeur 32-bit seront avertis qu’ils ne pourront pas utiliser la version 3.0 de Tails (qui sera la prochaine grosse mise à jour de fond). Tor Browser et le noyau Linux ont été mis à jour, des fouilles ont été bouchées et d’autres modules du noyau de Linux pour des protocoles réseaux rares ont été désactivés.

La prochaine version Tails 2.12 est prévue pour le 18 avril prochain environ.

Tails

Le professeur GN Saibaba avait été arrêté en mai 2014. Lui, ainsi que cinq autres personnes ont été condamné en vertu de la loi antiterroriste UAPA. Le District and Sessions Court de Gachiroli, dans le Maharashatra, ont condamné le professeur de la Delhi Universitty et quatre autres personnes a une peine de prison à vie en raison de « liens avec la guérilla maoïste ». Outre Saibaba, les cinq personnes condamnées sont le journaliste et militant Prashant Rahi, l’étudiant de la Jawaharlal Nehru Universtiy Hem Mishra et les tribaux Pandu Pora Narote, Mahesh Kareman Tirki et Vijay Tirki. Tous ont été condamnés à la perpétuité, à l’exception de Vijay Tirki qui lui, a été condamné à dix ans d’emprisonnement. Ces dernières années, Saibaba a fait campagne contre la milice Salwa Judum et les violations des droits de l’homme issues de l’Operation Green Hunt contre les maoïstes déclenchée par le précédent gouvernement United Progressive Alliance.

L’avocate de Saibaba, Rebecca John, a déclaré qu’elle allait faire appel de cette décision. « Il n’y a absolument aucune preuve contre lui. Si l’Etat tente de pénétrer dans l’esprit d’une personne, de cerner son idéologie, on obtient ce genre de décisions en vertu du Unlawful Activities Prevention Act ». Elle a ajouté qu’il n’y avait aucune preuve qu’il y eut « un quelconque rôle dans des activités violentes, ni d’incitation à la violence ni aucune participation du tout dans les activités des maoïstes »

GN Saibaba

Quatre policiers ont été tués dans une embuscade de la NPA à Barangay Sibayan, dans la province de Davao del Sur, aujourd’hui mercredi. Il s’agissait de membres de la police municipale de Bansalan, et de membres de la Scene of the Crime Operatives (SOCO). Un membre de la SOCO a pu appeler la police provinciale de Davao del Sur à l’aide pendant l’embuscade. Blessé, il a amené dans un hôpital voisin pour traitement.

Le théâtre de l’embuscade à Barangay Sibayan

Plusieurs prisonniers emblématiques des abus du système judiciaire russe ont été libérés anticipativement ces dernières semaines:
– Ildar Dadine, premier citoyen russe condamné en vertu de la loi de l’été 2014 punissant sévèrement toute manifestation non autorisée. Pour s’être posté tout seul avec une pancarte, à plusieurs reprises, non loin du Kremlin, il avait été condamné à deux ans et demi de colonie pénitentiaire en Carélie où il avait été maltraité. La Cour suprême a décrété que son jugement avait été abusif et a ordonné sa réhabilitation, ainsi que son droit à des dommages et intérêts.
– Evguenia Tchoudnovets, une jeune institutrice de maternelle condamnée à cinq mois de prison pour avoir posté sur son compte VKontakte (le Facebook russe) une vidéo de trois secondes considérée par les juges comme de la « pornographie infantile ». Elle avait en réalité voulu dénoncé l’humiliation d’un enfant nu par des éducateurs.
– Dmitri Boutchenkov, le dernier détenu de Bolotnaïa – lieu de rassemblement à Moscou des grands défilés de protestation contre M. Poutine à l’hiver 2011-2012 (il reste en résidence surveillée).
– Oksana Sevadisti, 46 ans, condamnée pour « haute trahison » à sept ans de colonie pénitentiaire. En 2008, juste avant le début de la guerre russo-géorgienne, cette vendeuse résidant à Sotchi avait envoyé un SMS pour décrire ce qu’elle voyait passer, comme tout le monde, sous ses yeux : un train de blindés faisant route vers l’Abkhazie. Elle a bénéficié d’une grâce présidentielle.
– Rouslan Sokolovski, condamné pour « extrémisme et outrage » pour avoir chassé des Pokémons dans une église (son histoire ici).

Rouslan Sokolovski chassant les Pokémons dans l’église de Tous-les-Saints à Ekaterinbourg

Les forces de sécurité turques ont lancé dimanche soir 6 mars l’une des plus vastes opérations anti-guérilla de ces dernières années dans le Kudistan turc. Quelque 7000 gendarmes, 600 policiers d’élite, ainsi que des dizaines d’hélicoptères et de blindés ont été mobilisés pour cette offensive à Lice, dans la province de Diyarbakir. En outre, 18 villages ont été placés sous un strict couvre-feu jusqu’à nouvel ordre. Cette opération vise à neutraliser les guérillas du PKK actives dans ces zones boisées et montagneuses. Une autre opération a été menée à Genc, dans la province de Bingol

Les autorités turques affirment avoir tués 4 guérilleros à Lice et 6 autres à Genc. Une des personne tuée à Lice, Edip Yetut, surnommé Erhan Siser, était activement recherché pour sa participation présumée à la guérilla urbaine à Diyarbakir. Sa tête avait été mise à prix à 1 million de livres turques.

Edip Yetüt, tué le 6 mars par la contre-guérilla

Face au refus de l’administration pénitentiaire de donner à Mumia les moyens de se soigner, comme un juge fédéral l’avait ordonné (voir notre article), les avocats de Mumia ont décidé de contre-attaquer en saisissant les tribunaux pour outrage à magistrat. De son côté l’Etat de Pennsylvanie a demandé au juge de surseoir à son injonction dans l’attente de son recours sur le fond contre la décision favorable à Mumia. Pour mémoire, cette décision du juge était motivée par le fait que la Constitution des Etats-Unis devait primer sur le coût des traitements. Autrement dit, le droit d’être soigné ne peut souffrir d’exception au prétexte d’arguties budgétaires qui privent Mumia et les 6.000 prisonniers de Pennsylvanie du traitement contre l’hépatite C dont ils sont atteints.

Le laboratoire américain détenant le brevet du médicament, qui le vend (avec profit) pour quelques centaines d’euros dans le tiers-monde, le commercialise aux Etats-Unis, pour environs de 70.000 euros ! De ce fait, au-delà des prisonniers, ce sont des centaines de milliers de malades qui ne bénéficient d’aucun traitement.

Mumia Abu-Jamal

Wikileaks a publié hier « Vault 7 », une série de 8.761 documents fuités issus de la CIA. Les documents révèlent les techniques de l’agence, non seulement à espionner mais aussi à éviter les embûches posées à la NSA suites aux révélations Snowden. Cette première série de documents est baptisée « Year Zero« , en référence aux nombreuses failles « 0Day » (Zero Day) qui la composent. Les failles 0Day sont des failles informatiques qui n’ont pas été détectées par les développeurs ou par la communauté de la sécurité informatique, dont elle est à priori la seule à connaître l’existence et qu’elle utilise pour infecter les machines. Il faut noter que cette première partie de Vault7 représente plus de pages publiées que les trois premières années de publications des fuites de Snowden. Les révélations sont immenses et concerne une agence qui reçoit plus de budget que la NSA depuis 2001.

En premier lieu, les documents démontrent l’immensité de l’arsenal de cyber-guerre de la CIA: si l’agence a récemment fait mine de dévoiler l’essentiel de son arsenal, faisant semblant d’être « bon joueur » aux côtés d’une NSA « déraisonnable », c’est simplement parce qu’elle a beaucoup en stock. Fin 2016, la division Hacking de la CIA employait 5.000 personnes et avait produit plus d’un millier de systèmes de piratages, chevaux de Troie, virus et autres logiciels malveillants militarisés (Weaponized Malwares), représentant tous ensemble plus de lignes de code que ce qu’utilise Facebook pour fonctionner. Les documents semblent avoir circulé parmi d’autres agences et hackers avant de tomber dans les mains de Wikileaks via une source interne à l’agence, il faut donc considérer que la CIA n’est plus la seule à jouir de cette puissance de feu. Les malwares militarisés de la CIA permettent de pirater la plupart des objets connectés à internet. Les ordinateurs sous Windows, MacOS et Linux et les appareils Android et iOS peuvent aisément être attaqués par l’agence qui a en stock des dizaines de failles 0Day. Mais la CIA suit l’innovation technologique de près: les objets connectés peuvent, pour la plupart, être transformés en appareils d’écoute. C’est notamment le cas des SmartTV de Samsung, visées par le virus Weeping Angels, développé conjointement avec le MI5, qui permet de placer la télévision dans un état faussement éteint: alors que l’écran est noir, la télévision enregistre les conversations et les transmet aux serveurs de la CIA via la connexion internet de la cible. La CIA s’essaie également depuis octobre 2014 à la prise de contrôle à distance des voitures modernes pour en faire des engins de meurtre indétectables. La CIA a une unité dédiée à iOS (iphone et ipad) malgré le fait que ces appareils ne représentent que 14,5% du marché des smartphones, ce qui serait expliqué par leur popularité dans les élites. L’unité visant les engins sous Android avait développé à la fin de l’année dernière 24 failles 0Day militarisées. Ces failles ont soit été développées à l’interne, soit obtenues du GCHQ, de la CIA ou de marchands de cyber-armes. Ces 24 failles permettent de contourner des applications parfois très sécurisées (WhatsApp, Signal, Telegram,…) Il faut noter que la CIA n’a à priori pas cassé le chiffrement de Signal: les données sont tout simplement volées avant d’être chiffrées. Le fait qu’elle soit obligée de contourner entièrement des applications comme Signal (que nous conseillons à tous d’utiliser) est paradoxalement rassurant.

S’il ne faut retenir qu’une chose de cet arsenal de failles 0Day, c’est qu’elles démontrent l’importance des mises à jour. De par leur nature même, les failles 0Day s’appuient sur les logiciels qui ne sont pas mis à jour.

CIA – Information Operations Center