Weeping Angel : WikiLeaks publie le guide utilisateur de l'implant de la CIA
Pour transformer les smart TV de Samsung en dispositifs d'écoute

Le , par Michael Guilloux, Chroniqueur Actualités
Weeping Angel faisait partie de la première vague de documents de la CIA qui ont été publiés par WikiLeaks, dans son opération baptisée Vault 7. Développé en collaboration avec le MI5, le service de la sécurité intérieure britannique, l’outil aurait permis à la CIA de pirater des smart TV de Samsung et les transformer en dispositifs d’écoute des conversations privées des utilisateurs. Il s’agit en effet d’un implant conçu pour enregistrer les bruits aux alentours de la smart TV grâce à son microphone intégré. Les données audio sont ensuite exfiltrées ou stockées sur l’appareil pour une récupération ultérieure.

Dans le guide utilisateur publié ce weekend, WikiLeaks fournit des détails sur les principales fonctionnalités de l’implant. Le document décrit toutefois une des premières versions de l’outil, celle initialement développée par le MI5, avant que la CIA ne l’adapte pour ses propres besoins. Cette version baptisée « EXTENDING » dans le guide utilisateur a été conçue pour les téléviseurs intelligents Samsung F Series.

L’implant EXTENDING peut être installé à l'aide d'une méthode d'accès physique. Son programme d'installation est chargé sur une clé USB qui doit être ensuite insérée dans le téléviseur cible pour être exécuté. Le programme d'installation va déployer l'implant sur l’appareil avec un fichier de configuration qui sera utile pour diverses opérations, telles que l’exfiltration des enregistrements, l’écoute des enregistrements en direct ou encore la désinstallation du programme malveillant. Une fois installé sur le téléviseur, EXTENDING va attendre le prochain démarrage de l’appareil pour commencer à opérer.

Il y a deux manières possibles d’exfiltrer les données enregistrées. La première consiste à les récupérer en ayant un accès physique à la smart TV. Pour exfiltrer des fichiers par accès physique, une clé USB doit être insérée sur l’appareil. La clé USB contient un certain fichier avec une certaine chaine telle que définie dans le fichier de configuration, lui-même déjà copié sur le téléviseur pendant l’installation. Lorsqu’elle est insérée dans le téléviseur, les fichiers sont automatiquement copiés sur la clé USB.

Il est également possible de récupérer le fichier audio à distance, via un point d’accès WI-FI. Pour exfiltrer les fichiers sur un point d'accès Wi-Fi, le point d'accès doit être configuré dans la portée du téléviseur avec un SSID préconfiguré, tel que défini dans le fichier de configuration installé sur l’appareil. Les fichiers sont ensuite exfiltrés sur ce réseau Wi-Fi vers un serveur tel que configuré dans le fichier de configuration. Grâce à un outil baptisé Live Listening Tool, l’implant permet d’écouter l’enregistrement en direct, alors qu'il est exfiltré sur le point d’accès WI-FI.

L’une des fonctionnalités les plus importantes de l’outil est le mode « Fake-off » qui permet d’enregistrer les conversations, même quand les utilisateurs croient avoir éteint leur téléviseur. EXTENDING est capable d’intercepter la commande qui permet d’éteindre le téléviseur, et dès qu'il intercepte, il éteint plutôt l'écran du téléviseur en laissant son processeur en marche ; ce qui lui permet de continuer à enregistrer. L'implant peut également être désinstallé en insérant une clé USB avec un fichier contenant une certaine chaine telle que définie dans le fichier de configuration. Lorsque cette clé USB est insérée dans le téléviseur, l'implant se désinstalle. Il est aussi possible de définir dans le fichier de configuration une date et une heure à laquelle l’implant doit se désinstaller automatiquement.

L’installation de l’implant EXTENDING se faisant par un accès physique, la menace est donc très limitée et plutôt ciblée. On ne peut toutefois pas en dire autant pour Weeping Angel, qui est une version améliorée par la CIA pour répondre à des besoins plus exigeants. Lors de la première vague de documents de la série Vault 7, les documents publiés par WikiLeaks (datant de 2014) ont révélé encore que dans une version future, il serait prévu d’étendre les fonctionnalités de Weeping Angel, pour permettre l'enregistrement d'images et de vidéos, pour les smart TV avec une caméra intégrée.

Source : WikiLeaks, Guide utilisateur EXTENDING

Et vous ?

Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 08/05/2017 à 13:20
Archimedes : WikiLeaks publie un outil de la CIA pour mener des attaques man-in-the-middle
au sein des réseaux locaux d'entreprise

WikiLeaks continue de déballer le lot de documents et outils de piratage de la CIA qui est en sa possession ; lequel a commencé à être publié le 7 mars à travers l’opération baptisée Vault 7. Pratiquement chaque semaine, le lanceur d’alertes a mis en ligne, vague après vague, de nombreux manuels utilisateur et des bouts de code de certains outils de l’arsenal de l’agence américaine. La liste est longue et l'on peut citer l’outil Weeping Angel, un implant pour transformer les smart TV de Samsung en dispositifs d’écoute, ou encore Marble, qui permet à la CIA de masquer ses traces après ses attaques et orienter les chercheurs en sécurité sur des pistes de hackers chinois ou russes. L’un des derniers que nous avons signalés était Grasshopper, un outil pour développer des malwares personnalisés ciblant les PC Windows, mais également échapper à la détection des antivirus.

Ce weekend, WikiLeaks a révélé l’existence d’un autre outil baptisé Archimedes, qui lui-même était une mise à jour d’un autre outil de la CIA, baptisé Fulcrum. Ce dernier vise à attaquer un réseau LAN distant et d'après le guide utilisateur publié par WikiLeaks, Fulcrum « facilite l'utilisation d'une machine contrôlée [par la CIA] pour pivoter vers une autre machine cible non compromise qui se trouve sur le même LAN. L'application effectuera une attaque man-in-the-middle sur l'ordinateur cible. L'application va surveiller ensuite le trafic HTTP de la machine cible et rediriger la cible vers l'URL fournie lorsque les conditions appropriées sont respectées. »

Avant d’aller plus loin, rappelons qu’un réseau local ou LAN (Local Area Network) est un réseau informatique à travers lequel les terminaux qui y participent s'envoient des trames au niveau de la couche de liaison sans utiliser d’accès à internet, ce qui permet notamment de limiter les risques d’attaques informatiques. L’attaque de la CIA repose donc sur une « machine pivot », une machine contrôlée sur laquelle Fulcrum est exécutée.

« Fulcrum n'est pas un exploit ou un ver », est-il précisé dans le guide utilisateur. « Il ne fera pas d'exécution de code arbitraire sur une machine distante et ne créera pas d'escalade de privilège sur la machine pivot. Il n'affectera pas les applications ou les systèmes d'exploitation sur les machines pivots ou cibles. Fulcrum ne va pas se répliquer ou cibler automatiquement les machines sur un réseau local ... Fulcrum dirigera le trafic HTTP d'une machine cible vers l'URL de choix de l'attaquant ».

L’attaque de la CIA est une attaque main-in-the-middle basée sur l’ARP spoofing. Pour information, l’Address Resolution Protocol (ARP, protocole de résolution d’adresse) est un protocole effectuant la traduction d’une adresse de protocole de couche réseau (typiquement une adresse IPv4) en une adresse MAC (typiquement une adresse Éthernet), ou même de tout matériel de couche de liaison. Il se situe à l’interface entre la couche réseau et la couche de liaison. Fulcrum se concentre uniquement sur l'environnement IPv4 et Ethernet ; la combinaison d'IPv4 et Ethernet représentant l'écrasante majorité des réseaux locaux (LAN), est-il indiqué dans le manuel utilisateur.

La technique ARP Spoofing est utilisée sur un réseau local pour permettre à une machine contrôlée par un attaquant d'intercepter des trames de données de machines du réseau, allant vers d'autres destinations. Cela place la machine de l'attaquant au milieu de tout trafic de la machine de la cible vers une autre destination.

La CIA explique dans son manuel que « l'ARP Spoofing compromet la traduction d'adresse IPv4 des machines cibles en adresses MAC en envoyant des paquets ARP falsifiés qui associent l'adresse MAC de l'attaquant à l'adresse IP d'un autre hôte (par exemple, la passerelle par défaut). Tout le trafic destiné à cette adresse IP serait donc envoyé par erreur à l'attaquant », comme vous pouvez le voir sur la figure suivante.


Fulcrum utilise l'ARP spoofing pour se placer entre la machine cible et la passerelle par défaut sur le réseau local afin qu'il puisse surveiller tout le trafic quittant la machine cible. Une fois que tout le trafic réseau de la machine cible est acheminé vers la machine pivot, Fulcrum surveille des messages HTTP spécifiques. Connaissant l'activité de la machine cible, la CIA peut créer une fausse page Web identique à un site visité par la machine cible. Et quand la victime tentera d’accéder à ce site, Archimedes va la piéger en ouvrant la copie, par exemple pour récupérer des informations, des identifiants, etc. Ce logiciel a été spécialement conçu pour les environnements Windows XP, Vista et Seven.

Sources : Communiqué de WikiLeaks, Guide utilisateur Archimedes, Guide utilisateur Fulcrum
Avatar de Lyons Lyons - Membre confirmé https://www.developpez.com
le 08/05/2017 à 17:20
Mouais c'est pas la révélation du siècle non plus. L'ARP spoofing est vraiment une technique de base, y'a pléthore d'outil gratuits et opensource pour faire des ARP spoofing et tout ce qui s'en suit (spying, DNS spoofing, DoS...).
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 09/05/2017 à 3:00
pourquoi wikileaks diffuse des outils de piratage ? pour avoir plus de documents envoyés ? ou pour faire chier les particuliers ?
Avatar de domi65 domi65 - Membre actif https://www.developpez.com
le 12/05/2017 à 11:20
Marble, qui permet à la CIA de masquer ses traces après ses attaques et orienter les chercheurs en sécurité sur des pistes de hackers chinois ou russes.
Je me disais aussi, « sont cons ces hackers russes, supposés ultra performants, à se laisser gauler aussi facilement !»
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 20/05/2017 à 7:57
Vault 7 : WikiLeaks révèle que le logiciel Athena, utilisé dans les opérations d'espionnage de la CIA,
peut infecter toutes les versions de Windows

WikiLeaks a publié le dernier numéro de sa série de fuites Vault 7, qui propose au public d’avoir des informations sur certains des outils de piratage de la CIA. Cette fois-ci, WikiLeaks a divulgué des informations sur un outil appelé Athena.

Selon les documents divulgués, WikiLeaks a indiqué qu’Athena est un implant (un terme technique de la CIA pour désigner les « logiciels malveillants ») qui peut cibler et infecter tout système Windows, de Windows XP à Windows 10, la dernière version du système d'exploitation de Microsoft.

Les documents qui ont filtré hier comportent des dates qui vont de septembre 2015 à février 2016, montrant que la CIA avait la possibilité de pirater Windows 10 quelques mois après son lancement, malgré le fait que Microsoft mettait fièrement en avant la difficulté de pirater son nouveau système d'exploitation.

Sur le plan technique, Athena n'est pas si spécial en comparaison aux autres logiciels malveillants développés pour les opérations d'espionnage numérique de l’agence. Selon les documents, un agent de la CIA dispose d'un constructeur avec des options pour générer une charge utile du malware Athena. Cette charge utile peut être spécifiquement assemblée pour fonctionner avec un serveur C&C en ligne, hors ligne ou en mode RAM uniquement (également connu sous le nom de mode sans disque/sans fichier).

Pour l'installation d'Athena, les opérateurs disposent de différentes méthodes allant des méthodes de livraison classiques à la compromission de la chaîne d'approvisionnement, et même via un opérateur sur le terrain, si cela devait s’avérer nécessaire.

Une fois sur le PC d'une cible, Athena communique avec un serveur C&C d'où il reçoit des instructions ou des charges utiles supplémentaires qu'il faudrait installer sur l'ordinateur de sa victime. Le malware fournit une capacité de balisage (y compris la configuration et la gestion des tâches), le chargement/déchargement de la mémoire de charges utiles malveillantes pour des tâches spécifiques et la livraison et la récupération de fichiers vers/depuis un répertoire spécifié sur le système cible. Il permet à l'opérateur de configurer les paramètres pendant l'exécution (pendant que l'implant est sur la cible) pour le personnaliser à une opération.

Ce qui est plus intéressant, c'est que les documents révèlent que la CIA a été épaulée par un entrepreneur non gouvernemental lors du développement du logiciel malveillant : l’entreprise Siege Technologies. Cette dernière est une société de cybersécurité basée dans le New Hampshire, qui a été acquise le 15 novembre 2016 par Nehemiah Security, une autre société américaine basée à Tysons, en Virginie, à la périphérie de Washington et près du quartier général de la CIA. Une zone qui regorge de divers entrepreneurs militaires et de la défense.


Dans un courriel, Jason Syversen, fondateur de Siege Technologies qui a des antécédents en cryptographie et en hacking, a déclaré que son entreprise envisage des améliorations qui fourniraient en temps réel des commentaires sur la question de savoir si un exploit a réellement atteint sa cible. Les commandants militaires « veulent un cratère fumant pour prouver une attaque ayant réussi », a-t-il dit, tout en rappelant que « Nous n'avons pas cela dans le numérique. »

Syversen a expliqué qu'il avait l'intention de créer l'équivalent des soi-disant métriques militaires de probabilité de tuer, une analyse statistique pour savoir si une attaque est susceptible de réussir. « Je me sens plus à l'aise en travaillant sur la guerre électronique », a-t-il affirmé, « C'est un peu différent des bombes et des armes nucléaires – c'est un domaine moralement complexe. Ici, au lieu de bombarder des choses et d'avoir des dommages collatéraux, vous pouvez réellement réduire les victimes civiles, ce qui est une victoire pour tout le monde. »

Depuis mars, WikiLeaks a fait neuf publications relatives à « Vault 7 », qui comprennent notamment (en dehors de cette publication) :
  • AfterMidnight - permet aux opérateurs de charger et d'exécuter dynamiquement les charges utiles des logiciels malveillants sur une machine cible ;
  • Archimedes - un outil d'attaque MitM prétendument créé par la CIA pour cibler les ordinateurs à l'intérieur d'un réseau local (LAN) ;
  • Scribbles - un logiciel prétendument conçu pour intégrer des « balises web » dans des documents confidentiels, permettant à l'agence de suivre les initiés et les dénonciateurs ;
  • Grasshopper - un framework qui a permis à l'agence de créer facilement des logiciels malveillants personnalisés pour entrer dans Microsoft Windows et contourner la protection antivirus ;
  • Marbre - a révélé le code source d'un cadre anti-forensique secret, fondamentalement un obscurcisseur ou un emballeur utilisé par la CIA pour masquer la source réelle de ses logiciels malveillants ;
  • Dark Matter - axé sur les exploits de piratage de l'agence conçus pour cibler des iPhones et des Macs ;
  • Weeping Angel - outil d'espionnage utilisé par l'agence pour infiltrer les téléviseurs intelligents, en les transformant en micros secrets ;
  • Year Zero - des exploits de piratage de la CIA pour infiltrer du matériel et des logiciels populaires.

Source : WikiLeaks
Avatar de mh-cbon mh-cbon - Membre habitué https://www.developpez.com
le 20/05/2017 à 10:41
EDIT:
Roh lol j'ai répondu à un post de la première page.
Y'a un truc qui ne fonctionne pas bien dans la nav, des fois j'arrive à la dernière page, des fois à la première.

M'enfin bon, pas très grave, le post reste d'une actualité tout à fait brûlante,
en fait

___________________________________________

Citation Envoyé par emutramp Voir le message
Merci pour cet article très intéressant

Si il était évident que les agences gouvernemental se donnait a cœur joie d’insérer des backdoor / exploiter des vulnérabilités / espionner a grande échelle… sur les smartphone / objets connectés / ordinateurs ayant une parti (voir intégralement) un code source fermé (malheureusement, la politique / intégrité des ces organisations est loin de ce qu’ils affirment / devraient être), j’ai lu sur un autre site que les systèmes Linux était également visé.

Sans être dans l’illusion qu’un système complètement open source est synonyme de secu "bulletproof" (complet jusqu’au drivers de la carte graphique par exemple, nouveau pour les cartes nvidia et non le drivers propriétaire…), il serait intéressant de savoir jusqu’à ou ils ont poussé pour s’introduire sur ces OS.

Est-ce qu’un kernel utilisant le patch grsecurity, sur un système hardened comme Gentoo voir openBSD, avec des applications sandboxed, IDS… ont pu être bypass permettant un remote accès ou autre «*security leaks*»*?
Ne te berces pas trop d'illusions, amha, tous les systèmes sont trouées par la nsa, souviens toi de l'iran avec son système scada qui s'est fait bouffer à coups de clefs usb interposés.

Faut être réaliste nux n'est meilleur qu'en cela que les scripts kiddies et autres mangeurs d'argent nous foutent la paix avec leurs vers.

Citation Envoyé par emutramp Voir le message
Une hypothèse qui pourrait se confirmer avec cette affaire, sont les services de VPN (torguard / ivpn...) offrant, de ce qu’ils affirment, un non log de l’activité du trafic, vie privée etc etc pour quelques euros par mois, tout en proposant leurs logiciels vpn au code source fermé et arguant qu’openvpn peut être utilisé.
</hypothèse>
J'utilise un VPN, par contre, faudrait être stupide, ou naïf de croire que cela protège véritablement.
Je le vois plutôt ainsi, mieux vaut qu'une société privé sans droit particulier puisse voir mes logs sentencieux, et le cas échéant me promette de tout supprimer, qu'un état pourvu du droit de sentence.
Dans le même ordre d'idée, prendre un vpn dans un état non-otan, non-ue c'est encore mieux, c'est comme lorsque tu joues à l'évasion fiscale, tu installes des barrières entre ton pognon et ton administration, parce qu'au fond, tout pourrait se savoir très très très facilement.

Au sujet de la news,
il n'y a que cette tournure qui me chiffonnes,
en anglais ça sonne bien "the shoot to kill metric",
en français ça demande plus d'effort,
des idées?

Syversen a expliqué qu'il avait l'intention de créer l'équivalent
des soi-disant métriques militaires de probabilité de tuer métrique
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 20/05/2017 à 14:11
« Je me sens plus à l'aise en travaillant sur la guerre électronique », a-t-il affirmé, « C'est un peu différent des bombes et des armes nucléaires – c'est un domaine moralement complexe. Ici, au lieu de bombarder des choses et d'avoir des dommages collatéraux, vous pouvez réellement réduire les victimes civiles, ce qui est une victoire pour tout le monde. »

Euh...
Les avis divergent...

Je ne saurai dire pourquoi, mais fichtrement vraiment pas pourquoi, j'ai comme l'impression que le NHS et plus de 300.000 victimes à travers plus de 150 pays ont un profond désaccord au sujet de cette opinion.

Mais je peux me tromper
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 25/05/2017 à 20:58
Bonjour,

On dirait le film traque sur internet ou les prétoires pourrait être non seulement la NSA, CIA comme commandants et autre mais également Facebook Google amazone pour la publicité

Normalement, si un système comme Linux et free-bsd sont open source, ils sont expertisables

A quand les antivirus qui enlève ces programmes pour éviter de participer à une guerre numériques ?

A quand des expertises indépendantes mêmes des programmées propriété pour savoir ce que font réellement nos ordinateurs tant du point de vu logiciel que matérielle ?

A quand le développement de matériels libres ?
https://fr.m.wikipedia.org/wiki/Mat%C3%A9riel_libre

https://korben.info/wiki/materiel_libre

Si vous pouviez voter pour un parti qui s'occupe de ces questions seriez-vous prêt à voter pour le parti pirate ?
Suisse
https://www.partipirate.ch/le-parti/

France
https://partipirate.org/

Que pensez-vous ?

Salutations
Offres d'emploi IT
Ingénieur produit (Landing gear) H/F
Safran - Ile de France - MASSY Hussenot
Ingénieur système de commande de vol H/F
Safran - Ile de France - Massy (91300)
Ingénieur conception électrique / électronique H/F
Safran - Ile de France - Villaroche

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil