Vault 7 : WikiLeaks dévoile Achilles, SeaPea et Aeris,
Trois outils supposément utilisés par la CIA contre les MAC et les systèmes Posix

Le , par Patrick Ruiz, Chroniqueur Actualités
La série Vault 7 de WikiLeaks consacrée à la divulgation des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre se poursuit avec la publication de trois nouveaux documents du projet « Imperial ». Achilles et SeaPea sont des implants conçus pour les MAC tandis qu’Aeris a une portée plus large et touche à bon nombre de systèmes Posix.

Achilles est un outil ligne de commande supposément utilisé par la CIA depuis 2011. Il permet à un opérateur de lier des exécutables malicieux aux fichiers d’installation du système d’exploitation OS X. L’outil aurait été testé avec succès sur OS X 10.6. Le lancement de l’installateur corrompu d’OS X installe le système d’exploitation et les fichiers malicieux. Ces derniers sont ensuite retirés de l’installateur, ce qui confère à l’opération un caractère furtif puisque la victime ne peut trouver de traces des exécutables malicieux après la première exécution.

SeaPea est un outil dont on suppose qu’il est utilisé par la CIA depuis 2011. Il s’agit d’un rootkit OS X conçu pour rendre les infections persistantes (seul un formatage du disque dur permet de s’en débarrasser). Il aurait été testé avec succès sur les versions 10.6 et 10.7 d’OS X pour masquer les fichiers et répertoires et lancer des connexions socket ou des processus malicieux sans que la victime ne s’en aperçoive.

Aeris est certainement l’outil le plus effrayant de cette nouvelle série de par son utilité et sa portée. Il s’agit d’un outil d’exfiltration des données – vers des postes d’écoute de la CIA – par le biais de canaux chiffrés en TLS. Il permet de s’attaquer à une importante gamme de systèmes Posix : Debian Linux 7 (i386, amd64 et ARM), Red Hat Entreprise Linux 6 (i386 et amd64), Solaris 11 (i386 et SPARC), FreeBSD 8 (i386 et amd64), CentOS 5.3 et 5.7 (i386).

Sources : Achilles, SeaPea, Aeris

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Pierre GIRARD Pierre GIRARD - Expert éminent https://www.developpez.com
le 28/07/2017 à 7:16
Ce que je n'arrive pas à comprendre, c'est comment ils installent ces outils sur les installations à surveiller.

En plus, dans le cas d'Achilles, il faut non seulement être sur place, mais en plus être soit-même l'installateur d'OS X ... le tout, sans que l'intéressé ne se doute de rien. Surtout que la plupart du temps (toujours ?), les clients de la Pomme achètent des machines pré-installées par Apple lui-même.
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 28/07/2017 à 7:25
@Pierre GIRARD
Rien ne les empêchent de contaminer l'installateur de Mise à niveau soit par le réseau(interception et réécriture fichier) ou soit en te mettant un script automatisé se lançant régulièrement(sur la machine ciblée)
Avatar de Battant Battant - Membre averti https://www.developpez.com
le 28/07/2017 à 11:09
Bonjour,

Je ne trouve pas les fichiers proposés par les sources de WikiLeaks sur mon ordinateur et d'autres par ses documents en date de 2011 . À chaque fois que vous reprenez l'information de WikiLeaks cette information date de très longtemps. J'aimerais bien avoir des informations actuelles les ingénieurs ont bien le temps de corriger les failles ou d'enlever les logiciels espions .

Que pensez-vous ?

Salutations
Avatar de Pierre GIRARD Pierre GIRARD - Expert éminent https://www.developpez.com
le 28/07/2017 à 11:48
Citation Envoyé par TiranusKBX Voir le message
@Pierre GIRARD
Rien ne les empêchent de contaminer l'installateur de Mise à niveau soit par le réseau soit en te mettant un script automatisé se lançant régulièrement
Et Apple se rend compte de rien si quelqu'un s'introduit chez lui pour modifier son installateur ? Et en plus, la mise en place se fait toujours en mode "commande". Donc, le client lamda n'entrera jamais les commandes nécessaires, ne serait-ce parce qu'il ne les connaît pas.
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 28/07/2017 à 12:28
@Pierre GIRARD
J'ai mis mon message précédent à jour pour une meilleur compréhension de ceux lisant trop vite
Rien ne les empêchent de contaminer l'installateur de Mise à niveau soit par le réseau(interception et réécriture fichier) ou soit en te mettant un script automatisé se lançant régulièrement(sur la machine ciblée)
Avatar de Pierre GIRARD Pierre GIRARD - Expert éminent https://www.developpez.com
le 28/07/2017 à 13:04
Citation Envoyé par TiranusKBX Voir le message
@Pierre GIRARD
J'ai mis mon message précédent à jour pour une meilleur compréhension de ceux lisant trop vite
Ce qui ne change ABSOLUMENT rien à ma réponse : "Et Apple se rend compte de rien si quelqu'un s'introduit chez lui pour modifier son installateur ? " Que ce soit physiquement ... où a distance. L'ajout d'un "script automatisé" 100% invisible par l'éditeur me semble parfaitement improbable. Et l'article à l'origine de cet échange ne parle nullement de choses automatisées, mais bien de commandes manuelles introduites au moment de l'installation.

De plus, il n'est dit nulle part que "Achilles" concerne les "mises à jour", mais bien les "installations" (ce qui n'est absolument pas la même chose). Que la CIA puisse développer de tels outils en interne pour tester certaines possibilités, je suis prêt à le croire, mais que ces produits soient déployés à grande échelle chez "Mr Tout-le-monde" me laisse vraiment perplexe
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 28/07/2017 à 13:51
@Pierre GIRARD
Mais tu est Franchement bouché ou quoi ? Depuis quand je parle d'une intrusion chez Apple ou de leur serveurs ?
Intercepter ta connexion et en réécrire une partie ou intégralement à la volée est une technique qu'ils maitrisent depuis pas mal d'années et pour le script automatisé je parle d'un script qui te ferait la contamination depuis la machine cible de l'installateur par le biais d'une autre technique bien évidement.

À ce demander si tu sait lire ou si ta vue trouble te fait ajouter des mots invisibles dans ta lecture
Avatar de Pierre GIRARD Pierre GIRARD - Expert éminent https://www.developpez.com
le 28/07/2017 à 15:05
Citation Envoyé par TiranusKBX Voir le message
Mais tu est Franchement bouché ou quoi ? Depuis quand je parle d'une intrusion chez Apple ou de leur serveurs ?...
Et toi, est-ce que tu connais les "Checsum" (MD5 par exemple ?) Moi je n'utilise jamais un truc téléchargé et non contrôlé. Je ne fais pas de mise à jour de l'OS, mais des réinstallations sur un DD différent. Comme ça, j'ai toujours l'ancien sous la main en cas de problème. Entre deux versions majeures, je laisse faire les MaJ automatiques.

Par ailleurs, concernant ceux qui ne savent pas lire, je cite :
Citation Envoyé par Patrick Ruiz Voir le message
...Achilles est un outil ligne de commande supposément utilisé par la CIA depuis 2011. Il permet à un opérateur de lier des exécutables malicieux aux fichiers d’installation du système d’exploitation OS X...
Alors, je répépète : Une mise à jour N'EST PAS une installation. Achilles est, tel que le décrit WikiLeaks, un outil permettant de lier ... PENDANT L'INSTALLATION etc... Le HIC est que les machines vendues par Apple sont préinstallées par Apple, sans passer par le net ou quoi que ce soit d'autre. Je ne doute pas qu'il soit possible de réinstaller OS-X (ne serait-ce qu'en cas de crash du disque système), mais, c'est pas la majorité des cas (et pas obligatoirement fait en ligne).

En plus, pourquoi tiens-tu absolument à ce que la CIA intercepte mes communications ? Tu crois vraiment qu'ils n'ont rien d'autre à faire de plus utile ? Non, je ne suis pas paranoïaque, et, je l'ai déjà dis souvent, quand bien même ils seraient assez stupides pour me surveiller => Je m'en fous et je m'en contre-fous, car le seul résultat possible pour la CIA, le FBI ou la NSA (et même le KGB ou son successeur) est de perdre son temps et son argent.
Avatar de chrtophe chrtophe - Responsable Systèmes https://www.developpez.com
le 28/07/2017 à 18:05
Pour les macs, je vous recommandes la lecture de ceci :
https://www.macg.co/os-x/2015/08/thu...a-faille-90358

Thunderstrike pouvait contaminer n'importe quel mac avec un périphérique Thunderbolt (y compris l'adaptateur Thunderbolt/Ethernet). Ils parlent également d'infections possibles via un site Web.
Avatar de redcurve redcurve - Membre averti https://www.developpez.com
le 31/07/2017 à 14:06
Il est tout à fait possible d'exécuter du code arbitraire sur osx, le problème est dans le format mac-o. Il suffit de modifier un exécutable ou un installeur en mettant le code malveillant dans les sections _text. Exécuter du code python par exemple ne pose aucun souci. La seule solution serait de faire des comparaisons de checksum, mais pour les installeur / apparemment tiers bon courage...
Contacter le responsable de la rubrique Accueil