Vault 7 : WikiLeaks dévoile ELSA
Un malware de la CIA qui permet de géolocaliser des PC via des hotspot Wifi

Le , par Patrick Ruiz

88PARTAGES

10  0 
WikiLeaks vient de publier un nouvel épisode de sa fameuse série Vault 7 qui détaille les activités de la Central Intelligence Agency (CIA) dans le domaine de la surveillance électronique. Cette fois, il s’agit d’un manuel utilisateur de 42 pages dédié à un outil dénommé ELSA.

ELSA est un outil de géolocalisation de PC qui se connectent à un réseau Wifi via un système d’exploitation Windows antérieur à la version 8.x. Le malware est conçu pour établir un modèle d’informations de localisation sur la base des détails tirés d’un point d’accès proche de la machine cible. Ces informations sont ensuite transmises soit à une base de données tierce, soit à l’ordinateur d’un agent à des fins de détermination de la latitude et de la longitude de l’appareil cible.


Le processus de géolocalisation débute bien évidemment avec l’injection du malware dans le PC de la victime. Après avoir généré la bibliothèque de liens dynamiques (Dll) nécessaire au pistage de l’ordinateur cible avec un outil dénommé PATCHER, l’agent doit la copier sur ladite machine. La bagatelle d’exploit dont dispose l’agence aide en principe à atteindre cet objectif aisément.

Une fois la Dll installée, elle assure la détection des hotspots Wifi environnant le PC infecté et entame l’enregistrement à intervalles réguliers de l’identifiant ESS – Extended Service Set – unique à chaque réseau. Il est à préciser que le malware est conçu pour que cette opération de collecte se fasse même en cas d’absence de réseau Wifi.

Présence de réseau Wifi ou pas, les informations nécessaires au pistage sont sauvegardées sur la machine cible dans un fichier chiffré avec l’algorithme AES-128. En cas de connexion de la victime à internet, le malware émet une requête vers un serveur de géolocalisation configuré d’avance par un agent.

Les informations obtenues de ce serveur – latitude, longitude de la machine cible et horodatage associé – sont à nouveau sauvegardées sur cette dernière. Par la suite, un agent se connecte à ladite machine et récupère le fichier de log créé par le malware. Il se sert ensuite d’un outil de déchiffrement pour obtenir les informations de géolocalisation ou mieux, interroger un autre serveur de géolocalisation pour avoir des informations plus précises.

Il faudrait préciser que le manuel a été rédigé pour le système d'exploitation Windows 7, ce qui laisse penser que l’agence pourrait disposer d’outils mis à jour pour Windows 10.

Source : Manuel

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Grogro
Membre extrêmement actif https://www.developpez.com
Le 05/09/2017 à 14:43
Ce qui ne me laissera pas d'étonner, à chaque épisode du feuilleton Vault 7, c'est l'assourdissant silence médiatique de la part de la totalités des médias non spécialisés dans l'IT quand on voit le ramdam habituel autour des "leaks".
La sécurité de l'information n'intéresse donc personne ? Ou wikileaks est devenu tabou car politiquement incorrect ?
6  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 09/07/2017 à 0:02
Ces révélations de wikileaks accompagnées de celles des shadow brokers ne sont que la partie émergée de l'iceberg des outils des five eyes en opération depuis le 11 septembre sous couvert de lutte anti terrorisme. Que ce soit tombé entre les mains des russes est déjà fort facheux. Qu'ils le répandent sur le net devient un problème non pas de sécurité nationale mais de sureté mondiale, on le voit avec NotPetya.
Commercial en solutions de sécurité est l'occasion de devenir multi-millionaire par les temps qui courent. Ou investir dans le Bitcoin pourrait être pas mal.
Admin sys & réseaux demandez une sévère augmentation ainsi que des primes substantielles de résolution d'incidents.

Très chers Etat, administrations, organisations en tout genre, attendez vous à du gros temps.
4  0 
Avatar de Tartare2240
Membre averti https://www.developpez.com
Le 24/08/2017 à 16:29
Donc, si j'ai bien compris, la CIA, donc agence gouvernementale américaine, espionne le FBI, autre agence gouvernementale américaine...

...ces idiots sévères n'ont pas assez d'ennemis à l'extérieur pour devoir espionner leurs propres agences !??
4  0 
Avatar de fenkys
Membre éprouvé https://www.developpez.com
Le 28/08/2017 à 11:53
La NSA espionnée ? Il n'y a que moi que cette information amuse ?
5  1 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 28/08/2017 à 12:18
Il y a aussi moi, mais je suis bien persuadé que la NSA, de son côté, a tout ce qu'il faut pour espionner le FBI et la CIA. Ne somment nous pas dans le pays des libertés, celui dans lequel n'importe quel fou peut acheter n'importe quelle arme pour faire n'importe quoi n'importe quand ?
4  0 
Avatar de LittleWhite
Responsable 2D/3D/Jeux https://www.developpez.com
Le 01/07/2017 à 12:42
Meme si le prerequis du noyau est vieux, il faut se rappeler de deux choses :
- les cibles sont precises (un SI precis) et l'objectif n'est pas de contaminer tout le monde, mais juste la ciblr (plus discret)
- ils peuvent avoir des exploits plus recents. La, il ne me semble pas reposer sur une faille quelconque, donc libre a eux de recompiler le module pour une version plus recente, si besoin est.
3  0 
Avatar de earhater
Membre confirmé https://www.developpez.com
Le 17/07/2017 à 18:04
Ouais enfin faut qu'un mec de la CIA vous prenne le téléphone portable et installe une application qui se trouve sur votre page d'accueil sans que vous ne vous en aperceviez ?
3  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 25/08/2017 à 7:41
@Tartare2240
Les intérêts de la CIA ne sont pas les même que ceux des autres agences vus que une partie de leurs opérations vont à l'encontre du bien commun en infiltrant des organisation mafieuses pour engranger du fric
3  0 
Avatar de FatAgnus
Membre confirmé https://www.developpez.com
Le 01/07/2017 à 12:34
Cette faille cible uniquement Red Hat ou dérivé avec le noyau Linux 64 bits 2.6.32. Autant dire que cela ne court pas les rues. Ce noyau Linux 2.6.32 est sorti il y a bientôt huit ans.

De plus l'attaquant doit déjà avoir un accès shell à un système pour réaliser cet exploit. Les privilèges administrateurs sont également nécessaires pour charger un module noyau qui n'est pas déjà installé... Avec un shell ouvert sous l'utilisateur « root » beaucoup de systèmes sont vulnérables...

À lire : I'm concerned about the OutlawCountry exploit
2  0 
Avatar de LittleWhite
Responsable 2D/3D/Jeux https://www.developpez.com
Le 17/07/2017 à 19:29
J'ai pensé à une autre approche :
"L'application est nécessaire pour les criminels (pour X ou Y raisons). Ils téléchargent le fake de la CIA. Comme c'est une application qui est comme privée, il y a un mot de passe à l'accès. Sur le forum où le gars la récupéré, le mot de passe indiqué dans l'article est donné. Voilà, vous avez déclenché l'espion sans qu'il y ait eu accès au téléphone ".
2  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web