Vault 7 : WikiLeaks dévoile l'application Android HighRise
Supposément utilisée par la CIA pour l'interception et la redirection des SMS

Le , par Patrick Ruiz, Chroniqueur Actualités
La série Vault 7 de WikiLeaks dédiée à la publication des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre se poursuit avec la publication du manuel d’une application Android malveillante dénommée HighRise.

D’après WikiLeaks, HighRise fonctionne comme un proxy SMS qui permet d’intercepter et rediriger les messages textes entrants et sortants vers des serveurs de la CIA.

Les smartphones qui tournent sur Android 4.0 à 4.3 sont la cible de l’actuelle version du malware dont on suppose qu’elle a été mise à la disposition des agents de la CIA en décembre 2013.

Avant qu’elle ne puisse être exploitée par un agent, l’application nécessite une installation sur le smartphone cible, ce qui suppose que l’agent a accès à ce dernier. Une fois l’application installée, elle apparaît à l’écran sous le nom Tidecheck.


Une activation de l’application est ensuite requise. Elle se fait par un clic sur l’icône Tidecheck suivi de la saisie d’un mot de passe – configuré sur la chaîne de caractères « inshallah » - et la pression sur un bouton d’initialisation.

L’application est dès lors activée et se met à tourner en arrière-plan après un redémarrage du smartphone. Les messages textes entrants et sortants sont alors interceptés et redirigés vers un centre d’écoute de la CIA.

Cette nouvelle publication de WikiLeaks présente également ce que l’on pourrait considérer comme un implant – c’est-à-dire, un logiciel malveillant que l’agence introduit dans un système cible en tirant parti d’un exploit dont elle seule a le secret –comme celles qui la précèdent.

Dans le cas des malwares BothanSpy et Gyrfalcon utilisés pour pirater des clients SSH sous Windows ou Linux, on sait qu’ils sont constitués pour l’un, de bibliothèques de liaison dynamiques et pour l’autre de scripts python qu’un agent doit « introduire » dans le système cible. L’exploit utilisé pour réussir cette introduction n’est cependant pas précisé.

Dans le cas de cette dernière publication, l’introduction du malware requiert un accès au smartphone cible. Tout le problème ici est de savoir comment l’agent arrive à passer outre le verrouillage d’un appareil – dans les cas où il est configuré – qu’il lui faut absolument compromettre.

Voilà autant d’interrogations qui, finalement, laissent toujours un goût d’inachevé après la lecture d’une des publications de WikiLeaks. Les informations manquantes sont probablement passées aux agents par voie orale pour laisser le moins d’informations possible dans les manuels.

Source : HighRise 2.0 (PDF)

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de earhater earhater - Membre confirmé https://www.developpez.com
le 17/07/2017 à 18:04
Ouais enfin faut qu'un mec de la CIA vous prenne le téléphone portable et installe une application qui se trouve sur votre page d'accueil sans que vous ne vous en aperceviez ?
Avatar de kopbuc kopbuc - Membre régulier https://www.developpez.com
le 17/07/2017 à 19:21
Ouais donc en gros du foutage de gueule
Avatar de LittleWhite LittleWhite - Responsable 2D/3D/Jeux https://www.developpez.com
le 17/07/2017 à 19:29
J'ai pensé à une autre approche :
"L'application est nécessaire pour les criminels (pour X ou Y raisons). Ils téléchargent le fake de la CIA. Comme c'est une application qui est comme privée, il y a un mot de passe à l'accès. Sur le forum où le gars la récupéré, le mot de passe indiqué dans l'article est donné. Voilà, vous avez déclenché l'espion sans qu'il y ait eu accès au téléphone ".
Avatar de Aiekick Aiekick - Membre chevronné https://www.developpez.com
le 17/07/2017 à 23:27
un malware qui nécessite qu'on entre un code pour l’activer. c'est pas le troll du vendredi ? vous etes sur ?
Avatar de Pierre GIRARD Pierre GIRARD - Expert éminent https://www.developpez.com
le 18/07/2017 à 6:04
Pareil pour moi, un code pour le désactiver : J'aurais beaucoup mieux compris.
Avatar de hotcryx hotcryx - Membre extrêmement actif https://www.developpez.com
le 18/07/2017 à 14:05
Pourquoi l'activer, il est déjà installé, c'est du foutage de gueule.

J'avais une applic similaire pour espionner mon téléphone, je demandais un mot de passe mais ce n'était pas pour l'activer mais pour accéder à l'interface.
Le programme lui était déjà actif.

Rem: je précise que je n'espionnais que mon téléphone (programme installé par mes soins).
Avatar de Pierre GIRARD Pierre GIRARD - Expert éminent https://www.developpez.com
le 18/07/2017 à 14:21
Citation Envoyé par hotcryx Voir le message
...Rem: je précise que je n'espionnais que mon téléphone (programme installé par mes soins).
Le but, c'était quoi ?

Car moi, mon portable étant toujours avec moi, je ne vois pas l'intérêt de l'espionner. Donc, a part confier son portable à un autre, je ne voie pas trop à quoi peut servir une telle application.
Avatar de Interruption13h Interruption13h - Membre éclairé https://www.developpez.com
le 19/07/2017 à 12:52
J'aime bien le mot de passe
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 21/07/2017 à 18:13
Vault 7 : WikiLeaks dévoile comment Raytheon a aidé la CIA
À développer des malwares supposément inspirés de ceux des Russes et des Chinois

La série Vault 7 consacrée à la publication des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre se poursuit avec un nouveau lot de documents. Ce dernier apporte certains détails sur la coopération entre l’agence et Raytheon – une entreprise américaine qui œuvre dans l’aérospatial et la défense – dans le cadre d’un projet dénommé UMBRAGE Component Library (UCL).

« Les documents ont été fournis à l’agence de LangLey entre le 21 novembre 2014 (juste deux semaines après que Raytheon a racheté Blackbird Technologies) et le 11 septembre 2015. Ils contiennent essentiellement des preuves de concept et des évaluations de vecteurs d’attaques en partie basés sur des documents publics émanant de chercheurs en sécurité et d’entreprises œuvrant dans le domaine de la sécurité », peut-on lire dans la dernière alerte de WikiLeaks qui laisse alors penser que la coopération entre Raytheon et la CIA n’aurait duré qu’une année.

Année pendant laquelle Raytheon a agi comme une sorte de chercheur de technologies pour la Direction de développement à distance – RDB – de la CIA, en analysant des données sur les cyberattaques et en donnant des recommandations aux équipes de la CIA pour une étude approfondie et pour le développement de leurs propres projets, d’après ce qui ressort de l’annonce de WikiLeaks.

Il s’agit donc très probablement de technologies dérobées par Raytheon auprès de chercheurs en sécurité ou d’entreprises du domaine de la cybersécurité. Fait intéressant, dans cette nouvelle publication, les groupes auxquels les documents auraient été dérobés sont clairement nommés.

On apprend ainsi que le premier document apporte des informations sur une variante de HTTPBrowser – un outil d’accès à distance conçu pour enregistrer des frappes au clavier dans les systèmes cibles –, dont l’original est issu d’un groupe chinois nommé Emissary Panda.

Les développements du deuxième document portent eux aussi sur un outil dont l’original a supposément été utilisé par un groupe chinois baptisé Samurai Panda. La version de la CIA permet de détecter les identifiants de proxy pour contourner le pare-feu Windows en s’appuyant sur une faille adobe Flash référencée CVE-2015-5122 et des techniques pour contourner le contrôle des comptes utilisateurs.

Après tout, pourquoi se déranger si l’on peut s’appuyer sur l’existant comme base de travail ? Voilà un questionnement simple auquel une publication du magazine The Intercept – datée du 8 avril 2017 – apporte une excellente réponse.

« Avec UMBRAGE et les projets similaires, la CIA peut non seulement augmenter le nombre total de vecteurs d’attaques dont elle dispose, mais faire porter le chapeau aux groupes auxquels les schémas d’attaque ont été dérobés en inscrivant leur empreinte », déclare WikiLeaks.

Sources : WikiLeaks, The Intercept

Et vous ?

Que pensez-vous de ces dernières révélations de WikiLeaks ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 28/07/2017 à 4:08
Vault 7 : WikiLeaks dévoile Achilles, SeaPea et Aeris
Trois outils supposément utilisés par la CIA contre les MAC et les systèmes Posix

La série Vault 7 de WikiLeaks consacrée à la divulgation des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre se poursuit avec la publication de trois nouveaux documents du projet « Imperial ». Achilles et SeaPea sont des implants conçus pour les MAC tandis qu’Aeris a une portée plus large et touche à bon nombre de systèmes Posix.

Achilles est un outil ligne de commande supposément utilisé par la CIA depuis 2011. Il permet à un opérateur de lier des exécutables malicieux aux fichiers d’installation du système d’exploitation OS X. L’outil aurait été testé avec succès sur OS X 10.6. Le lancement de l’installateur corrompu d’OS X installe le système d’exploitation et les fichiers malicieux. Ces derniers sont ensuite retirés de l’installateur, ce qui confère à l’opération un caractère furtif puisque la victime ne peut trouver de traces des exécutables malicieux après la première exécution.

SeaPea est un outil dont on suppose qu’il est utilisé par la CIA depuis 2011. Il s’agit d’un rootkit OS X conçu pour rendre les infections persistantes (seul un formatage du disque dur permet de s’en débarrasser). Il aurait été testé avec succès sur les versions 10.6 et 10.7 d’OS X pour masquer les fichiers et répertoires et lancer des connexions socket ou des processus malicieux sans que la victime ne s’en aperçoive.

Aeris est certainement l’outil le plus effrayant de cette nouvelle série de par son utilité et sa portée. Il s’agit d’un outil d’exfiltration des données – vers des postes d’écoute de la CIA – par le biais de canaux chiffrés en TLS. Il permet de s’attaquer à une importante gamme de systèmes Posix : Debian Linux 7 (i386, amd64 et ARM), Red Hat Entreprise Linux 6 (i386 et amd64), Solaris 11 (i386 et SPARC), FreeBSD 8 (i386 et amd64), CentOS 5.3 et 5.7 (i386).

Sources : Achilles, SeaPea, Aeris

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage
Contacter le responsable de la rubrique Accueil