Quinze jours après la première vague de documents de la CIA, le site dévoile une poignée de nouveaux fichiers qui détaillent le fonctionnement d’outils permettant d’écouter et de prendre le contrôle des Mac et d’un modèle d’iPhone.

Bonne nouvelle ! Vous aviez sans doute fini d’éplucher les quelque 8 761 documents secrets de la CIA que Wikileaks a diffusé le 8 mars dernier. Il était donc temps que la deuxième salve de Vault 7 fasse à nouveau trembler le petit monde du renseignement.

La terre d’asile des lanceurs d’alerte en ligne vient donc de lâcher une petite douzaine de nouveaux documents, regroupés sous l’appellation Dark Matter, ou Matière noire.

Au fil de ces PDF sont décrits différents outils et malwares aux noms qui claquent (Sonic Screwdriver, DerStarke, Triton, Dark Mallet ou encore DarkSeaSkies). Ils sont ainsi présentés par le menu et leur fonctionnement expliqué pour qui aurait à les utiliser.

S’ils sont tous différents, ils ont tous un point commun : ils s’attaquent aux ordinateurs d’Apple. Les Mac, réputés plus sûrs – ce qui est généralement vrai pour différentes raisons- sont donc potentiellement compromis par ces malwares et périphériques.


Un pied de biche en forme de tournevis

Ainsi, Sonic Screwdriver (PDF - Tournevis sonique, vraiment ?) permet à un attaquant de booter et d’exécuter du code, un malware par exemple, depuis le périphérique de son choix, comme une clé USB ou un lecteur optique (embarqué ou connecté en USB). Une manipulation qui est normalement rendue impossible si la séquence de boot UEFI est protégée par un mot de passe (elle ne peut donc pas être altérée).

Il faut toutefois que la personne malintentionnée ait accès au Mac (portable ou de bureau) pour y connecter un adaptateur Thunderbolt vers Ethernet modifié. C’est sur ce petit dongle qu’est installé un firmware qui va scanner tous les supports accessibles et lancera le boot UEFI.

Pour les aspirants espions, le PDF décrit en détails comment flasher l’adaptateur, liste les MacBook Air et MacBook Pro qui ont été testés pour cette attaque et explique même avec quels malwares l’associer.

Une palette d'outils toujours d'actualité ?

Car Sonic Screwdriver est évidemment un simple intermédiaire, un moyen d’accéder et de compromettre des Mac pour les espionner. L’agent de la CIA doit donc ensuite recourir à des malwares maison. Et il a visiblement l’embarras du choix. Il y a par exemple Triton pour macOS, et DerStake, sa version "persistante". Une vraie plaie : l’utilisateur aura beau formater son disque dur et réinstaller un système d’exploitation à partir de zéro, la machine demeurera compromise.

Ces malwares jouent le rôle de mouchards, ils sont donc capables de communiquer avec l’extérieur en utilisant les connexions du navigateur. Un moyen habile d’éviter d’être détecté par des outils de surveillance du réseau, comme Little Snitch. Ils sont par ailleurs capables de modifier/créer/supprimer des fichiers sur la machine qui les héberge.

Il est intéressant de noter que le manuel d’utilisation de DerStake, qui est publié par Wikileaks aujourd’hui, date de 2013. On pourrait donc se demander si l’outil est encore d’actualité. A en croire Wikileaks, d’autres documents de Vault 7 indiquent que la CIA l’utilisait toujours l’année dernière, en 2016, donc. Par ailleurs, l’agence américaine serait en train de développer une version 2.0 de son outil, sans doute pour s’adapter aux nouveaux Mac et macOS.

Un sale coup pour Apple, dont la politique en matière de protection des données de ses utilisateurs est très ferme, au point d’ailleurs de l’avoir opposé à la justice américaine qui voulait pénétré de force dans l’iPhone d’un terroriste.


L'iPhone n'y a pas échappé

Wikileaks dévoile également un document expliquant le fonctionnement d’un autre outil, appelé NightSkies. A la fois mouchard, loader et implant, NightSkies (PDF) est capable de compromettre des iPhone. Plus précisément les iPhone 3G, sortis en 2008. Il s’exécute en tâche de fond et permet de télécharger ou téléverser des documents depuis l’appareil. L’attaquant pourra également exécuter du code et contrôler totalement l’appareil.

Heureusement, NightSkies, dans sa version 1.2 tout au moins, ne pouvait pas être installé à distance. Il fallait un accès physique à l’appareil. Une fois dans la place, l’outil surveillait certains répertoires de l’iPhone, comme l’historique de navigation Web, le cache des vidéos YouTube regardées, le cache des applications de cartographie ou les métadonnées des mails. Mais ce n’est pas tout, les agents de la CIA pouvaient également accéder au carnet d’adresses de l’utilisateur, à ses SMS ou à son journal d’appels.

Au-delà de cette violation de la vie privée des utilisateurs, le plus préoccupant est que cet outil est pensé pour être installé sur un iPhone sortant d’usine. Le renseignement américain aurait ainsi pu compromettre les smartphones bien avant qu’ils soient remis aux cibles éventuelles, y compris au sein de la chaîne d’approvisionnement, laisse entendre Wikileaks. On peut dès lors imaginer que de nombreux iPhone ont été « contaminés » pour ne finalement en espionner qu’un…

Difficile de savoir si la CIA a développé d’autres outils pour mettre à mal la sécurité des iPhone suivants, sortis depuis 2008, mais il est fort possible que ce soit le cas. Mais la tâche des hackers de l'agence de renseignement est certainement bien plus complexe aujourd'hui, avec l’arrivée des puces 64 bits et de la Secure Enclave. Nous avons contacté Apple pour avoir un commentaire sur ces révélations et mettrons à jour cet article dès réception de la réponse.