Vault 7, sous ce nom de code, Wikileaks publie la liste des opérations et outils utilisés par la CIA. Ces documents sont issus d’un outil collaboratif interne utilisé par les recrues de l’agence. On y trouve la description des différents outils développés par l’agence, et tout y passe. Capables de cibler smartphones (iOS et Android), ordinateurs (Windows, Linux, Solaris), routeurs (Mikrotik) et même … télévisions connectées Samsung !

On découvre également l’existence de procédures clés en main capable de générer à la demande, via un questionnaire (ex: y’a-t-il un accès internet ? combien de temps disposez vous sur place ? y’a-t-il un antivirus ?), des applications à priori inoffensives (VLC, Notepad++, Firefox portable …) pour en faire de véritables outils d’extraction de données pour les agents de terrain.

En plus de l’arsenal de l’agence, ces notes dévoilent des informations destinées aux nouvelles recrues :

• conseils de voyage (ex: ne pas laisser d’objets électroniques sans surveillance, ou bien « voler sur Lufthansa parce que l’alcool y est gratuit, avec modération » …)
• comment se comporter à la frontière et quel scénario utiliser (notamment pour les agents recrutés allant travailler au consulat américain à Francfort)
• ne pas parler du travail en dehors du travail pour ne pas exposer sa couverture et celle des autres employés
• comment utiliser les équipements à disposition pour tester et développer ses outils (machines virtuelles autorisées, réseaux internes, procédure de développement continu … )

Les outils sont développés par des équipes spécialisées, réparties dans des sous-branches opérationnelles couvrant un panel allant des failles applicatives jusqu’à l’informatique embarquée. Parmi les outils les plus remarqués on peut trouver:

• Weeping Angel : permet de basculer les télés connectées Samsung dans un faux mode de veille tandis qu’elle capte l’audio de la pièce pour le transmettre aux oreilles de l’agence
• Brutal Kangaroo : un malware pour Windows qui utilise des fonctions liées au système de fichier NTFS pour extraire des données
• Fine Dining : la liste des applicatifs inoffensifs pouvant être utilisés pour exfiltrer des données
• HammerDrill : malware ciblant Windows permettant de collecter des données, ayant la particularité de se déclencher à l’insertion ou l’éjection de CD/DVD dans la machine. La V2 est capable de patcher à la volée des exécutables pendant leur gravure sur un support optique et d’y dissimuler un trojan
• Cutthroat et Swindle: des implémentations de malwares de la suite « Hive » ciblant Windows, Linux, Solaris et les routeurs Mikrotik pour y implanter des canaux de communication permettant le contrôle à distance.

En plus des outils, les pages disponibles présentent également certaines méthodes de l’agence, comme la récupération de signatures de malwares connus dont la création est attribuée à d’autres groupes de hackers ou instances étatiques étrangères pour être réutilisées afin de brouiller les pistes.

De nombreux éditeurs concernés ont rapidement réagi face à cette publication, Apple et Google annoncent que de nombreuses vulnérabilités présentées dans ce rapport sont déjà connues et corrigées sur leurs systèmes d’exploitation mobiles. De son côté, l’éditeur de Notepad++ active la vérification des signatures des librairies DLL qu’il utilise et VideoLAN planche sur une version de VLC rendant son exploitation à des fins malveillantes plus difficile.

D’après Wikileaks, plus de 5000 personnes auraient accès à tout ou partie de ces ressources au sein de la CIA, y compris des prestataires et sous-traitants en contrat avec le gouvernement américain comme Booz Allen Hamilton, l’ancien employeur d’Edward Snowden.

Chez Numérama, on revient sur ce leak et on analyse pourquoi il est plus difficile de couvrir ce genre de révélations en 2017 qu’en 2010, et bien que la fuite soit réelle, elle demande un peu de recul pour être analysée objectivement.