CYBERATTAQUES
Par Jean-Marc Manach — 14 avril 2017 à 15:10
Au siège de l’agence américaine de renseignement, à Langley, en Virginie. Photo Carolyn Kaster. AP
En 2014, un logiciel espion sophistiqué était découvert. Les documents publiés par l’organisation d’Assange ont, depuis, permis de le relier aux hackers de la CIA. Ce vendredi, elle lève un coin du voile sur les modes opératoires de l’agence américaine, dans des documents que «Libération» a consulté.
WikiLeaks et des antivirus démasquent la CIA derrière un logiciel espion
«Flash Gordon», «Barbe bleue», «Assaut de pizza», «Souffleuse à neige»… Les noms de code utilisés par les mystérieux auteurs d’un logiciel espion découvert en 2014 par deux éditeurs d’antivirus, le russe Kaspersky et l’américain Symantec, avaient de quoi intriguer. D’autant que dans cette liste digne de la Complainte du progrès de Boris Vian, désignant à la fois des cibles et des opérations de piratage, on trouvait également un micmac improbable de références à Star Trek, un jeu vidéo et un manga japonais, un jeu de lancer d’anneaux, des beignets populaires dans les fêtes foraines américaines… Mais ce qui avait le plus mis en alerte les deux entreprises de cybersécurité, c’était le degré de sophistication du logiciel en question.
Des cibles très choisies
Ce dernier exploitait en effet des failles de sécurité jamais détectées, et était paramétré afin de n’infecter que tel ou tel ordinateur en particulier quand, d’ordinaire, les virus informatiques cherchent à s’attaquer à un maximum de cibles. Surtout, Symantec avait vu le programme s’autodétruire après avoir infecté (par erreur ?) un ordinateur américain, et ne contaminer, ces trois dernières années, que quarante cibles seulement, dans seize pays du Moyen-Orient, d’Europe, d’Afrique et d’Asie.
Ses cibles ? Des gouvernements, des organisations internationales, des entreprises ou institutions dans les secteurs de la finance, de l’énergie, des télécommunications, du vol spatial ou des ressources naturelles. Au plan technique, Kaspersky le comparait, «en termes de complexité», aux logiciels espions les plus sophistiqués que l’éditeur ait jamais analysés, attribués depuis à la NSA, au GCHQ (son équivalent britannique) et aux services de renseignement israéliens.
En ce début de semaine, les deux éditeurs d’antivirus ont révélé coup sur coup que ce logiciel espion, jusque-là surnommé «Longhorn» («grande corne» en VF) par Symantec et «Lambert Family» par Kaspersky, correspondait trait pour trait aux fonctionnalités et aux modes opératoires décrits dans plusieurs documents émanant de la division de la CIA chargée des attaques informatiques, et rendus publics par WikiLeaks début mars sous le nom de code «Vault 7». Prudents, ou pudiques, ni Symantec (société américaine dont le siège social est à Mountain View, en Californie) ni Kaspersky (multinationale russe employant une quarantaine d’experts dans dix-huit pays) ne mentionnent explicitement la CIA… Symantec se borne à évoquer les documents «Vault 7», et Kaspersky se réfère à l’analyse de «[ses] collègues de Symantec».
Serveurs sous couverture
Les activités des hackers de la CIA n’avaient jamais été, jusque–là, aussi précisément documentées. Fin mars, WikiLeaks a ainsi dévoilé des documents, que Libération a pu consulter, expliquant comment l’agence américaine camouflait ses logiciels espions pour éviter qu’ils puissent lui être attribués. La semaine passée, l’organisation de Julian Assange a mis en ligne de nouveaux documents révélant la manière dont les pirates informatiques de la CIA «customisaient» leurs logiciels malveillants pour qu’ils ne soient pas repérés par les antivirus. On apprenait, au passage, que les espions américains avaient réutilisé un logiciel malveillant… russe, préalablement utilisé par le crime organisé pour pirater quelque 800 institutions bancaires, et détourner 250 millions de dollars (environ 235 millions d’euros) au détriment, principalement, d’épargnants russes.
A LIRE AUSSIWikiLeaks joue à cache-cache avec la CIA
Ce vendredi, WikiLeaks révèle de nouveaux documents, que Libération et le quotidien italien la Reppublica ont de nouveau pu consulter. Il s’agit cette fois du mode d’emploi d’une infrastructure nommée «Hive» («ruche» en VF), utilisée par l’agence américaine pour communiquer, de façon furtive et sécurisée, avec les logiciels espions qu’elle a réussi à installer, et exfiltrer les données des ordinateurs qu’elle a contaminés. Comme nombre d’auteurs de cyberattaques, les hackers de la CIA ne se connectent pas directement à leurs cibles, mais utilisent un système de relais, ici des serveurs «sous couverture» loués par le biais d’entreprises privées, afin de brouiller les pistes.
WikiLeaks explique vouloir ainsi continuer à aider les chercheurs en sécurité informatique et les éditeurs d’antivirus à attribuer les cyberattaques qu’ils auraient pu voir passer, sans être jusque-là en mesure d’identifier qu’elles émanaient de la CIA. Un point de vue qui n’est pas du goût du nouveau patron de l’agence, Mike Pompeo. Jeudi soir, ce dernier a accusé l’organisation d’Assange de se comporter en «service de renseignement hostile», parce qu’elle avait incité ses abonnés Twitter à s’inscrire en stage à la CIA pour faire «fuiter» des documents.
Pour en revenir aux noms de code, une chose aurait pu mettre la puce à l’oreille de Symantec et Kaspersky. Comme l’avaient révélé les documents d’Edward Snowden, les noms de code utilisés par la NSA pour qualifier ses propres systèmes de surveillance et ses logiciels espions sont tout aussi intrigants, sinon poétiques. En français dans le texte, ils vont de «girafe égoïste» à «fourre-tout fantomatique», en passant par «péage mélancolique», «poutre transversale», «chaos élégant», «chaton déplaçable», «broyeur à marteaux», «dauphin grinçant», «sable de fer», «bouillon mutant», «torpille à photons» et même… «Schtroumpf paranoïaque».