Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Vault 7 : WikiLeaks dévoile les outils utilisés par la CIA pour infecter les PC Windows
Et échapper à la détection des logiciels de sécurité

Le , par Michael Guilloux

101PARTAGES

8  0 
Le 7 mars, WikiLeaks a lancé l’opération Vault 7 visant à divulguer les techniques et outils de piratage utilisés par la CIA. Les premiers fichiers divulgués par l’organisation non gouvernementale décrivaient des failles de sécurité exploitées pour compromettre des PC Windows, des Mac, des appareils Android et iOS, mais également les smart TV de Samsung, entre autres dispositifs.

Après cette première vague, ce sont d’autres documents qui montraient que la CIA avait installé des implants malveillants sur les iPhone depuis la chaîne d'approvisionnement, mais était également capable d'infecter les iPhone et Mac d'Apple de manière persistante. Il y a eu ensuite un nouvel épisode où près de 700 fichiers de code source d’un framework baptisé Marble ont été publiés. Il s’agit d’un outil utilisé par la CIA pour brouiller les pistes après une attaque de ses agents. Marble permet par exemple à la CIA de déguiser son code pour orienter les chercheurs en sécurité vers de fausses pistes, en particulier vers des attaquants russes, chinois et coréens, entre autres.

WikiLeaks vient de publier un nouveau lot de documents appartenant à la CIA ; et cette fois, ils décrivent des outils utilisés par l’agence d’espionnage pour infecter les PC Windows. Cette nouvelle fuite est baptisée Grasshopper, du nom d’un ensemble d'outils logiciels utilisés pour créer des logiciels malveillants personnalisés pour les ordinateurs Windows. « Grasshopper est un outil logiciel utilisé pour créer des installateurs personnalisés pour les ordinateurs cibles exécutant le système d'exploitation Microsoft Windows », est-il expliqué dans le guide utilisateur de la CIA.

Grasshopper est doté d'une variété de modules qui peuvent être utilisés par un opérateur de la CIA comme des blocs pour construire un implant personnalisé qui se comportera différemment en fonction de l’ordinateur ciblé. D’après les documents de la CIA, il serait possible pour un opérateur de personnaliser son malware de sorte que son installation dépende de l’évaluation de l’environnement cible. Les conditions cibles à vérifier sont décrites à l'aide d'un langage de règle personnalisé. D’après WikiLeaks, ce langage, qui serait d’ailleurs très flexible, permet de définir des règles qui sont utilisées pour faire une évaluation du terrain avant l’installation de la charge utile sur le périphérique. Cela « permet de s’assurer que la charge utile ne sera installée que si la cible a la bonne configuration », explique le lanceur d’alerte. « Grâce à ce langage, les opérateurs de la CIA sont capables […] de vérifier par exemple si le périphérique cible exécute une version spécifique de Microsoft Windows ou si un produit antivirus particulier est en cours d'exécution ou non », dit-il.

Grasshopper implémente des techniques pour éviter d’être détecté par les antivirus sur l'ordinateur spécifique ciblé. D’après WikiLeaks, il est en effet susceptible de ne pas être détecté par les produits de sécurité comme Kaspersky Internet Security Suite, Microsoft Security Essentials, Rising Internet Security et Symantec End Point Protection.

L’outil de la CIA utilise également divers mécanismes de persistance, y compris Stolen Goods 2.0. Les documents publiés par WikiLeaks le décrivent comme « un module de persistance pour Grasshopper, basé sur des composants d’un logiciel malveillant tiers ». Ce logiciel malveillant tiers en question n’est rien d’autre que Carberp, un trojan bancaire attribué aux Russes et dont le code source a été publié en ligne en 2013. La CIA a emprunté des composants de ce trojan qu’elle a ensuite modifiés pour ses propres opérations de piratage. « Les composants [de Stolen Goods 2.0] ont été prélevés sur un logiciel malveillant connu sous le nom de Carberp, un rootkit suspecté d'appartenir à des Russes », est-il indiqué dans les documents de la CIA. Et d’ajouter : « Le code source de Carberp a été publié en ligne et a permis [à nos équipes] d'emprunter facilement des composants du malware. » Cela confirme, comme le cas du botnet Mirai, que lorsque le code d’un malware est publié en ligne, cela peut-être très dangereux pour la sécurité des systèmes informatiques.

La CIA explique toutefois dans les documents publiés par WikiLeaks que la plupart des composants de Carberp n'étaient pas utilisés dans Stolen Goods 2.0. Seuls le module de persistance et les parties de l'installateur ont été pris et modifiés pour répondre à ses besoins. « Une grande majorité du code Carberp d'origine utilisé a été fortement modifiée. Très peu de morceaux du code original existent sous une forme non modifiée ». La CIA assure également qu’avant de les utiliser, « tous les composants pris en charge par Carberp ont été soigneusement analysés pour chercher des fonctionnalités cachées, backdoors, vulnérabilités, etc.

WikiLeaks explique que les 27 documents publiés dans cette nouvelle vague donnent un aperçu de la façon dont la CIA maintient la persistance sur les ordinateurs Windows infectés ; ce qui devrait, selon le lanceur d’alerte, donner des directives à ceux qui cherchent à défendre leurs systèmes, pour identifier tout compromis existant.

Sources : Communiqué de WikiLeaks, Grasshopper v2 (guide d’utilisateur), Stolen Goods 2.0 (manuel d’utilisateur)

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 12/04/2017 à 17:29
Ça fait un argument de plus pour les Chinois et les Russes de fuir les produits "Made In USA". Pendant ce temps là l'Europe, dont la France, continue à investir massivement dans les PC à base de Windows.
6  0 
Avatar de Grogro
Membre extrêmement actif https://www.developpez.com
Le 05/09/2017 à 14:43
Ce qui ne me laissera pas d'étonner, à chaque épisode du feuilleton Vault 7, c'est l'assourdissant silence médiatique de la part de la totalités des médias non spécialisés dans l'IT quand on voit le ramdam habituel autour des "leaks".
La sécurité de l'information n'intéresse donc personne ? Ou wikileaks est devenu tabou car politiquement incorrect ?
6  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 09/07/2017 à 0:02
Ces révélations de wikileaks accompagnées de celles des shadow brokers ne sont que la partie émergée de l'iceberg des outils des five eyes en opération depuis le 11 septembre sous couvert de lutte anti terrorisme. Que ce soit tombé entre les mains des russes est déjà fort facheux. Qu'ils le répandent sur le net devient un problème non pas de sécurité nationale mais de sureté mondiale, on le voit avec NotPetya.
Commercial en solutions de sécurité est l'occasion de devenir multi-millionaire par les temps qui courent. Ou investir dans le Bitcoin pourrait être pas mal.
Admin sys & réseaux demandez une sévère augmentation ainsi que des primes substantielles de résolution d'incidents.

Très chers Etat, administrations, organisations en tout genre, attendez vous à du gros temps.
4  0 
Avatar de Tartare2240
Membre averti https://www.developpez.com
Le 24/08/2017 à 16:29
Donc, si j'ai bien compris, la CIA, donc agence gouvernementale américaine, espionne le FBI, autre agence gouvernementale américaine...

...ces idiots sévères n'ont pas assez d'ennemis à l'extérieur pour devoir espionner leurs propres agences !??
4  0 
Avatar de fenkys
Membre éprouvé https://www.developpez.com
Le 28/08/2017 à 11:53
La NSA espionnée ? Il n'y a que moi que cette information amuse ?
5  1 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 28/08/2017 à 12:18
Il y a aussi moi, mais je suis bien persuadé que la NSA, de son côté, a tout ce qu'il faut pour espionner le FBI et la CIA. Ne somment nous pas dans le pays des libertés, celui dans lequel n'importe quel fou peut acheter n'importe quelle arme pour faire n'importe quoi n'importe quand ?
4  0 
Avatar de domi65
Membre confirmé https://www.developpez.com
Le 12/05/2017 à 11:20
Marble, qui permet à la CIA de masquer ses traces après ses attaques et orienter les chercheurs en sécurité sur des pistes de hackers chinois ou russes.
Je me disais aussi, « sont cons ces hackers russes, supposés ultra performants, à se laisser gauler aussi facilement !»
3  0 
Avatar de LittleWhite
Responsable 2D/3D/Jeux https://www.developpez.com
Le 01/07/2017 à 12:42
Meme si le prerequis du noyau est vieux, il faut se rappeler de deux choses :
- les cibles sont precises (un SI precis) et l'objectif n'est pas de contaminer tout le monde, mais juste la ciblr (plus discret)
- ils peuvent avoir des exploits plus recents. La, il ne me semble pas reposer sur une faille quelconque, donc libre a eux de recompiler le module pour une version plus recente, si besoin est.
3  0 
Avatar de earhater
Membre confirmé https://www.developpez.com
Le 17/07/2017 à 18:04
Ouais enfin faut qu'un mec de la CIA vous prenne le téléphone portable et installe une application qui se trouve sur votre page d'accueil sans que vous ne vous en aperceviez ?
3  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 25/08/2017 à 7:41
@Tartare2240
Les intérêts de la CIA ne sont pas les même que ceux des autres agences vus que une partie de leurs opérations vont à l'encontre du bien commun en infiltrant des organisation mafieuses pour engranger du fric
3  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web