Vault 7 : WikiLeaks dévoile ExpressLane
Un outil supposément utilisé par la CIA contre des services de liaison (FBI, NSA, etc.)

Le , par Patrick Ruiz, Chroniqueur Actualités
Aujourd’hui, arrêt oblige sur la série Vault 7 de WikiLeaks consacrée à la divulgation des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre. L’actualité WikiLeaks le suggère et cette fois le contenu est au moins, sinon plus digne d’intérêt que dans le cadre des autres parutions. L’organisation fondée par Julian Assange vient en effet de dévoiler un outil supposément utilisé par la CIA pour espionner des services de liaison au rang desquels on compte : le FBI, le DHS et la NSA.

Les contenus publiés nous apprennent que la CIA dispose d’une branche spéciale (OTS) qui maintient une plateforme de collecte de données biométriques mise à la disposition des services de liaison à travers le monde. La plateforme serait destinée au partage « volontaire » de ces données biométriques entre la CIA et les services de liaison, ce qui n’a pas lieu. C’est là où intervient l’outil ExpressLane au centre des développements de ce jour.

« ExpressLane est un outil furtif de collecte d’informations utilisé par la CIA pour exfiltrer des données de ces systèmes mis à la disposition des services de liaison », explique WikiLeaks qui ajoute que « ExpressLane est installé et lancé sous le prétexte d’une mise à jour du logiciel de collecte de données biométriques par un agent de l’OTS en visite sur lesdits sites. Les agents de liaison témoins de la procédure n’y verront que du feu puisque l’exfiltration des données est masquée par un écran d’installation Windows. »

La procédure d’installation mène à la présence d’un exécutable dénommé MOBSLangSvc (l’exécutable d’ExpressLane) dans le répertoire \windows\system32. L’exfiltration des données se fait via la clé USB qui sert à l’installation (ou plus exactement, à la mise à jour). Cette dernière contient une partition spécialement préparée (par l’outil CreatePartition sur l’image ci-dessous) pour être détectée par ExpressLane dès son insertion sur la machine cible.


Les données exfiltrées sont sauvegardées dans la partition spéciale sous forme chiffrée et il faut qu’un agent de la CIA use d’un autre outil (Exit Ramp 3.0 sur l’image ci-dessous) pour les déchiffrer et les sauvegarder une fois de retour à la base.


Cette nouvelle publication de WikiLeaks vient rappeler un principe désormais important de l’univers de la cybersécurité, faire attention aux clés USB introduites par des tiers sur son système. Maintenant, comment se comporte un agent des services de liaison si la procédure ne prévoit pas une vérification du matériel détenu par l’agent de l’OTS ?

Quand bien même la procédure le prévoirait, dispose-t-il des bons outils pour savoir ce que la clé renferme comme charge malicieuse ? Des questions qu’on est en droit de se poser même s’il faut se rappeler qu’il s’agit de stratagèmes supposément mis en œuvre par la CIA
.
Source : WikiLeaks

Et vous ?

Qu’en pensez-vous ?

Voir aussi :


La fuite de Wikileaks montre que le chiffrement de données fonctionne rendant la tâche plus difficile aux agences d'espionnage
WikiLeaks va partager le code de la CIA avec les entreprises IT quand la CIA dit continuer à collecter agressivement des renseignements à l'étranger


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Tartare2240 Tartare2240 - Membre actif https://www.developpez.com
le 24/08/2017 à 16:29
Donc, si j'ai bien compris, la CIA, donc agence gouvernementale américaine, espionne le FBI, autre agence gouvernementale américaine...

...ces idiots sévères n'ont pas assez d'ennemis à l'extérieur pour devoir espionner leurs propres agences !??
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 25/08/2017 à 7:41
@Tartare2240
Les intérêts de la CIA ne sont pas les même que ceux des autres agences vus que une partie de leurs opérations vont à l'encontre du bien commun en infiltrant des organisation mafieuses pour engranger du fric
Avatar de fenkys fenkys - Membre éprouvé https://www.developpez.com
le 28/08/2017 à 11:53
La NSA espionnée ? Il n'y a que moi que cette information amuse ?
Avatar de Pierre GIRARD Pierre GIRARD - Expert éminent https://www.developpez.com
le 28/08/2017 à 12:18
Il y a aussi moi, mais je suis bien persuadé que la NSA, de son côté, a tout ce qu'il faut pour espionner le FBI et la CIA. Ne somment nous pas dans le pays des libertés, celui dans lequel n'importe quel fou peut acheter n'importe quelle arme pour faire n'importe quoi n'importe quand ?
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 31/08/2017 à 23:23
Vault 7 : WikiLeaks dévoile le projet Angelfire, utilisé par la CIA pour compromettre les systèmes Windows XP et 7
en ciblant le secteur de démarrage

WikiLeaks a révélé un autre projet secret de la CIA que l’agence a utilisé pour compromettre les systèmes Windows, cette fois ciblant le secteur de démarrage du système d'exploitation afin de permettre de déployer plus de charges utiles.

Baptisé Angelfire, la boîte à outils cible Windows XP et Windows 7 et se compose de cinq éléments qui travaillent de concert pour compromettre un système.

Tout d'abord vient Solartime, l’outil dont l’objectif est de modifier le secteur de démarrage pour exécuter un second module appelé Wolfcreek à chaque fois que le système démarre.

Wolfcreek quant à lui est un pilote autochargeur (code kernel que Solartime exécute) qui charge d'autres pilotes et des applications en mode utilisateur.

Le troisième composant s'appelle Keystone dont la CIA a eu spécialement recours étant donné qu’il a permis aux agents de déployer des logiciels malveillants supplémentaires sur les systèmes infectés. C'est une partie de l'implant de Wolfcreek qui exploite l'injection DLL pour exécuter les applications utilisateur malveillantes directement dans la mémoire système sans les laisser dans le système de fichiers. Il est responsable du démarrage des applications utilisateur malveillantes.

Le quatrième composant baptisé BadMFS est une bibliothèque utilisée pour créer un système de fichiers cachés à la fin de la partition activée (ou dans un fichier sur disque dans les versions ultérieures). Il est utilisé comme un dépôt pour les conducteurs et les implants que Wolfcreek va lancer. Tous les fichiers sont à la fois chiffrés et obscurcis.

Et le dernier est le système de fichiers transitoires Windows, WikiLeaks a expliqué qu’il a été développé comme une alternative à BadMFS. Son objectif est d'utiliser des fichiers temporaires au lieu de compter sur un système de fichiers qui stocke localement des informations.

Problèmes connus

WikiLeaks explique que malgré les composants complexes inclus dans Angelfire, les outils de piratage pourraient être facilement découverts, en raison d'une série de problèmes que même la CIA a reconnus dans les manuels qui ont fuité.

Par exemple, Keystone s'est déguisée en copie de svchost.exe et se trouvait toujours dans C: \ Windows \ system32, donc si le système d'exploitation était installé sur une partition ou un emplacement différent, le processus aurait pu déclencher une analyse plus poussée.

En outre, le système de fichiers BadMFS a créé un fichier appelé ZF que les utilisateurs ont pu rencontrer lorsqu'ils travaillent sur leur système. Et enfin, la CIA prévient qu'un plantage potentiel de l'un des composants susmentionnés aurait déclenché des notifications visibles.

Angelfire a été spécialement conçu pour Windows 7 et Windows XP, le projet ayant été développé avant les débuts de Windows 8 en 2012.

Ci-dessous la liste des publications de Wikileaks depuis mars :
  • AngelFire - 31 août 2017
  • ExpressLane - 24 août 2017
  • Couchpotato - 10 août 2017
  • Dumbo - 3 août 2017
  • Imperial - 27 juillet 2017
  • UCL / RAYTHEON - 19 juillet 2017
  • HighRise - 13 juillet 2017
  • BothanSpy et Gyrfalcon - 06 juillet 2017
  • OutlawCountry - 30 juin, 2017
  • Malware ELSA - 28 juin 2017
  • Cherry Blossom - 15 juin 2017
  • Pandemic - 1er juin 2017
  • Athena - 19 mai 2017
  • AfterMidnight - 12 mai 2017
  • Archimedes - 5 mai 2017
  • Scribbles - 28 avril 2017
  • Weeping Angel - 21 avril 2017
  • Ruche - 14 avril 2017
  • Grasshopper - 7 avril 2017
  • Marble Framework - 31 mars 2017
  • Dark Matter - 23 mars 2017

Source : WikiLeaks
Avatar de arond arond - Membre éprouvé https://www.developpez.com
le 01/09/2017 à 9:41
Les ricains se font plaisir avec les noms quand même "Angelfire" a quand l'exploit "DesertStorm" ?
Avatar de Grogro Grogro - Membre extrêmement actif https://www.developpez.com
le 05/09/2017 à 14:43
Ce qui ne me laissera pas d'étonner, à chaque épisode du feuilleton Vault 7, c'est l'assourdissant silence médiatique de la part de la totalités des médias non spécialisés dans l'IT quand on voit le ramdam habituel autour des "leaks".
La sécurité de l'information n'intéresse donc personne ? Ou wikileaks est devenu tabou car politiquement incorrect ?
Avatar de domi65 domi65 - Membre averti https://www.developpez.com
le 07/09/2017 à 11:23
@Grogro
La sécurité de l'information n'intéresse donc personne ? Ou wikileaks est devenu tabou car politiquement incorrect ?
Soyons pragmatique : Le Piratage, quel qu'il soit, c'est le Kremlin.
Tout ce qui n'entre pas en résonance avec cet axiome est automatiquement rejeté par les bots.
Avatar de arond arond - Membre éprouvé https://www.developpez.com
le 07/09/2017 à 11:31
Citation Envoyé par Grogro Voir le message
Ce qui ne me laissera pas d'étonner, à chaque épisode du feuilleton Vault 7, c'est l'assourdissant silence médiatique de la part de la totalités des médias non spécialisés dans l'IT quand on voit le ramdam habituel autour des "leaks".
La sécurité de l'information n'intéresse donc personne ? Ou wikileaks est devenu tabou car politiquement incorrect ?
Plus sérieusement que mon VDD (même si pas tout a fait faux). C'est parce que c'est tout simplement pas assez flashi.
De plus le quidam lambda (Mme Michu et Mr Michu) tu leur dis LAN ils te répondront "qu'est ce que c'est kse truc ?" tu leur parlera de Windows XP ou 7 ils te diront : "Quoi ya encore des gens sur ces vieux truc ? C'est leur faute si ils se font hacké ils ont qu'a aller sous Windows 10 c'est nouveau donc c'est plus sur" et pour finir parle leur "d'injection DLL" et tu devras leur faire un exposé de 2 Heures sur ce qu'est un DLL.

(PS : Je ne sous entends pas que les gens sont cons justes qu'ils ne s'y intéressent pas )
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 11/09/2017 à 10:42
Vault 7 : WikiLeaks dévoile le projet Protego
Un système de contrôle de missiles supposément utilisé par la CIA

La série Vault 7 dédiée à la publication des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre se poursuit, mais de manière un peu inhabituelle cette fois. Les dernières révélations de l’organisation non gouvernementale fondée par Julian Assange ne concernent pas un système d’espionnage attribué à la CIA comme il est de coutume, une première depuis le début de cette série. Aujourd’hui, WikiLeaks dévoile les plans du projet Protego, un système de contrôle de missiles supposément utilisé par la CIA.

Dans cette dernière publication, pas grand-chose à se mettre sous la dent, si ce n’est quelques détails de l’organisation physique du système de contrôle. Au centre de ce dernier, des cartes à microcontrôleurs PIC (des PIC24FJ32 plus précisément) qui communiquent entre elles via des connexions séries chiffrées. Pour les amoureux d’électronique numérique, des détails plus ou moins exhaustifs sur différentes séquences de fonctionnement du système, comme sur le diagramme ci-dessous, relatif aux conditions de lancement d’un missile.


Pour le reste, difficile de savoir pourquoi ces plans se retrouvent entre les mains de la division de la CIA chargée du développement de malwares, comme le souligne WikiLeaks. Notons au passage que ce système de contrôle a été conçu en partenariat avec Raytheon, une entreprise américaine du domaine de l’aérospatial et de la défense, sur laquelle la CIA s’est appuyée pour le développement de malwares inspirés de ceux développés par des groupes de cybercriminels russes et chinois.

Si l’on se base sur le fait que les ingénieurs attribuent généralement des noms de code significatifs à leurs projets, alors une petite recherche permet de se rendre compte que le terme Protego renvoie à un bouclier permettant de se protéger d’attaques physiques et magiques, allusion faite ici aux aventures d’Harry Potter. Si les concepteurs de ce système avaient bien ces aventures à l’esprit au moment d’attribuer ce nom à ce projet, alors il se pourrait que le système ait été conçu pour servir de bouclier. Oui, mais à quoi ? Serait-on en droit de se poser la question.

Source : WikiLeaks

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Des hackers peuvent contrôler un avion en exploitant une vulnérabilité présente dans un système de divertissement pour avions de ligne
Des hackers piratent le système de traitement d'eau d'une société et parviennent à modifier les adjuvants chimiques apportés à l'eau potable
Contacter le responsable de la rubrique Accueil