Révélations sur la CIA : Wikileaks en baisse de forme ?

(AP Photo/Carolyn Kaster)

La dernière révélation en date de Wikileaks concerne les outils de piratage informatique de la CIA, et a fait déjà couler beaucoup d'encre. Seul problème : entre les annonces effectuées par l'organisation de Julian Assange et la réalité technique contenue dans les documents, les écarts sont importants. Que doit-on vraiment retenir de ce dernier rebondissement sur les moyens de surveillance et d'espionnage américains ? Wikileaks a-t-il exagéré ?

dans

Alors que le problème des "fake news" ne cesse d'être dénoncé par les médias généralistes, le traitement médiatique autour des dernières révélations de Wikileaks a de quoi laisser songeur. Le collectif de Julian Assange a commencé à publier des document confidentiels sur les outils d'espionnage numérique de la CIA avec des annonces très racoleuses : "Les téléviseurs Samsung peuvent écouter vos conversations, la CIA a les moyens de rentrer sur tous les smartphones, les messageries chiffrées sont contournées, etc".

 

Les protocoles de sécurisation de ces messageries visent à ce que l'interception des communications soit impossible en transit, pas à transformer votre téléphone mobile en coffre-fort

Jef Mathiot, spécialiste en sécurité informatique

Cet ensemble de plus 8700 documents, nommé "Vault 7" (Coffre 7), a déjà été longuement commenté avant même d'avoir pu être étudié en profondeur. Des annonces fracassantes sur l'espionnage de type "1984" (le roman de Georges Orwell où l'Etat observe chaque citoyen par le biais de son téléviseur, NDLR) que la CIA aurait mis en place, ont été faites par Wikileaks, relayées par de nombreux médias :

Cet extrait d'article laisse entendre que les services secrets américains possèdent des outils d'espionnage très puissants et très intrusifs, qui pourraient être équivalents à ceux de la NSA, révélés par Edward Snowden :

Les techniques de piratage numérique de la CIA sont-elle réellement aussi impressionnantes, "innovantes", et intrusives que le laissent entendre les annonces de Wikileaks soutenues par les articles d'une partie de la presse généraliste ? Le scoop de Wikileaks n'est-il pas avant tout la description détaillée de l'arsenal informatique que toute agence de services secrets dotée de gros budgets est censée posséder ?

La plupart des outils mentionnés correspondent à des vulnérabilités connues, voire à des outils "Open Source" disponibles librement sur Internet

Jef Mathiot, spécialiste en sécurité informatique

Logiciels de piratage en "vente libre"

Les détails techniques des documents de la CIA ne vont pas — en réalité — dans le sens des annonces effrayantes de Wikileaks : les téléviseurs connectés Samsung ne sont pas des mouchards potentiels qui mèneraient à un monde "à la 1984", puisque pour qu'ils puissent espionner grâce à leur micro — même en mode veille —  il faut qu'un agent de la CIA vienne modifier le logiciel interne de l'appareil, ce qu'explique Jef Mathiot, spécialiste en sécurité informatique et journaliste pour le site d'information Reflets.info : "En réalité « l'exploit » [la technique utilisée pour exploiter la faille informatique, NDLR] utilisé est de portée très limitée, puisqu'il nécessite de remplacer le logiciel présent sur le téléviseur, et donc d'avoir un accès physique à ses ports USB. Même chose pour les exploits contre les téléphones mobiles, pour la plupart ils nécessitent d'être implantés dans les appareils d'une manière ou d'une autre".

Les capacités de contournement de la sécurité des appareils ou du chiffrement des applications n'ont donc rien d'exceptionnelles selon Jef Mathiot, qui reste très surpris par l'exagération de ces révélations : "Par principe, si vous réussissez à implanter un logiciel malveillant, que ce soit sur un téléphone mobile, un ordinateur, etc., et que ce logiciel obtient suffisamment de privilèges, il pourra lire les données qui se trouvent sur l'appareil. Que certaines de ces données aient transité via des messageries sécurisées comme Signal ou WhatsApp ne change rien. Les protocoles de sécurisation de ces messageries visent à ce que l'interception des communications soit impossible en transit, pas à transformer votre téléphone mobile en coffre-fort. La présentation que Wikileaks en a fait est trompeuse".

De fait, une partie des logiciels de piratage informatique de la CIA décrits dans les documents révélés par Wikileaks est accessible par n'importe qui sur Internet, d'après le spécialiste en sécurité, pour qui sait bien chercher. Quant au fameux logiciel espion pour smartphone, développé en partenariat avec les services de renseignement britanniques (GCHQ), il est loin d'être aussi abouti que le programme "smurf" du même GCHQ (lire notre article : "Royaume-Uni : Snowden dévoile "schtroumpfs", pour contrôler des smartphones"), capable, selon les documents fournis par Snowden, de prendre le contrôle à distance d'un smartphone sur simple envoi d'un…sms.
 


L'attaque du smartphone distant par le GCHQ semble imparable, selon le lanceur d'alerte, puisqu'elle consiste à envoyer un texto chiffré, texto qui n'est pas notifié à l'utilisateur. Dès réception de ce texto, le contrôle distant et invisible du smartphone ciblé est actif, sans que l'utilisateur ne puisse le déceler. Difficile de protéger sa vie privée avec de telles techniques…

Du piratage classique et des de failles informatiques non-documentées


Les fameuses "zero day", ces failles informatiques non référencées, non documentées et qui n'ont donc pas de parade technique, que possède la CIA, ne sont pas non plus quelque chose d'extraordinaire dans le monde de la sécurité et n'ont rien d'exceptionnel, comme l'explique Jef Mathiot : "Il y a en fait très peu de "zero day" dans les documents. La plupart des outils mentionnés correspondent à des vulnérabilités connues, voire à des outils "Open Source" (logiciels au code informatique modifiable, NDLR) disponibles librement sur Internet. Les "zero day" sont les vulnérabilités les plus redoutées car même les utilisateurs les plus consciencieux des produits correspondants, ceux qui font par exemple les mises à jour régulièrement, sont susceptibles d'être visés par ces attaques. Il est en théorie impossible de se défendre contre une "zero day", mais il est possible en pratique de limiter les effets potentiels d'une compromission" .

La publicité faite autour des "zero day" de la CIA est très artificielle, puisque ces vulnérabilités sont un véritable commerce sur Internet, dont les agences de renseignement sont clientes, comme d'autres acteurs de la sécurité. Le fait que l'agence américaine en collectionne n'est donc pas un scoop, selon le spécialiste : "Les agences de renseignement en possèdent et il existe un marché assez lucratif où elles sont vendues. Mais il est difficile, par définition, d'en connaître le nombre exact, puisque leurs possesseurs n'ont aucun intérêt à faire publicité de leur existence. D'autre part, il n'existe pas de modèle qui permette de mesurer leur impact réel."
 

Julian Assange, le 5 février 2016, montre le rapport de l'ONU qui dénonce son enfermement arbitraire à l'Ambassade d'Equateur à Londres. (AP Photo/Kirsty Wigglesworth)

Depuis les premières annonces de Wikileaks, l'emballement médiatique sur les outils de piratage de la CIA est quand même retombé, des articles atténuent leurs capacités et remettent à sa juste mesure l'"arsenal de piratage informatique" de la CIA. Cette agence emploie des spécialistes en sécurité réseau, dont les compétences de piratage informatique sont indéniables. Leurs méthodes ne diffèrent pas de celles des groupes criminels qui opèrent sur Internet et qui font parfois la une des journaux. Mais rien ne permet aujourd'hui de comparer la CIA et la NSA, à la lecture des documents de Wikileaks.

Jef Mathiot souligne cet aspect des choses, peu mis en avant : "À la lecture des documents, en tout cas ceux publiés jusqu'à présent, la plupart des observateurs en on déduit qu'il s'agit principalement d'outils de piratage tournés vers de la surveillance ciblée ou des missions d'espionnage. Nombre d'entre eux nécessitent par exemple des interventions physiques, sur place, pour être utilisés. C'est l'équivalent informatique de la pose d'un micro-espion dans une pièce, à ceci près qu'un téléphone mobile infecté est sans aucun doute autrement plus bavard. Mais à mon sens, et quoi que l'on pense par ailleurs des pratiques de ces agences, on n'est pas dans une logique de surveillance de masse."

Le groupe Wikileaks voudrait-il attirer les feux des projecteurs sur lui — alors que Julian Assange continue à être maintenu dans son ambassade d'Equateur à Londres — et se placer en "compétiteur" d'Edward Snowden ? Possible. Le but de Wikileaks est-il de trouver des appuis politiques dans des pays opposés à la politique étrangère américaine ? Possible aussi. Mais Wikileaks a toujours — jusqu'alors — produit des révélations dénonçant les exactions de l'administration américaine, même s'il n'a pas habitué le public à "survendre" ses fuites. Au final, les premiers documents analysés démontrent surtout une chose : les Etats-Unis sont très en pointe sur le piratage informatique, utilisent des techniques connues des criminels en ligne, et peuvent, s'ils le souhaitent et parviennent à installer leurs dispositifs numériques, espionner la vie entière des personnes qu'ils ciblent.

Qui en aurait douté ?