Vault7 n’a pas fini de faire parler de lui ! Le cycle de révélations initiés par Wikileaks le 7 mars dernier a connu un nouveau rebondissement. Après avoir exposé les outils que la CIA utilisait pour menacer nos Mac et nos iPhone, le site de Julian Assange vient de publier une série de 27 documents qui expliquent comment l’agence américaine hacke nos PC sous Windows.
Des modules et un langage pour chaque occasion
Les révélations se concentrent essentiellement sur un outil, appelé Grasshopper (sauterelle, en anglais). Il ne s’agit pas d’un malware mais plutôt d’une sorte d’usine à fabriquer des malwares sur mesure, adaptés au plus près au besoin des agents de la CIA.
En fonction des blocs choisis pour être assemblés, le comportement de l’outil obtenu diffère largement. Grasshopper fournit en effet un « langage très flexible », qui permet de définir des règles de fonctionnements précises, qui vont de la surveillance de l’appareil avant l’installation du programme jusqu’à la vérification de la configuration de l’ordinateur ciblé pour être sûr que le logiciel passera inaperçu.
CIA Vault 7 Part 4 "Grasshopper" released today reveals new CIA malware signatures https://t.co/7qXImL3V56 #vault7 pic.twitter.com/XUNjoev1G0
— Defend Assange Campaign (@DefendAssange) April 7, 2017
Ce langage permet donc de créer des outils complexes ou simples qui seront capables de s’adapter pour éviter d’être détectés sur une machine si elle embarque un PSP, pour Personal Security Products. Comprenez que Grasshopper est conçu pour ne pas être repéré par un antivirus ou une suite logicielle de sécurité comme celles produites par Kaspersky, Symantec ou même Microsoft.
Différents tableaux publiés hier par Wikileaks montrent les résultats de tests d’installation sur des machines utilisant Windows XP, 7, 8.1 ou encore Windows Server 2003. Le taux de détection est assez faible, semble-t-il, et guère rassurant.
Une sauterelle là pour rester…
Grasshopper est non seulement capable de passer sous le radar des outils de sécurité, mais il sait aussi se rendre indéracinable, en utilisant le planificateur de tâches de Windows ou en modifiant des clés du registre, entre autres. Ainsi, un de ses modules, appelé Stolen Goods, lui permet de se réinstaller subrepticement toutes les 22 heures en corrompant le fonctionnement de Windows Update, même si les mises à jour automatiques ont été désactivées…
Pour la petite histoire, Stolen Goods n’est pas une création des ingénieurs de la CIA. L’agence américaine a recyclé du code provenant d’un malware appelé Carberp, et qui est attribué à la mafia russe.
Lorsque que le code source de ce terrible cheval de Troie bancaire avait été publié en ligne en 2013, de nombreux experts en cybersécurité avaient dit leur crainte de voir des cybercriminels recourir à cet outil. Ils avaient visiblement vu juste…
Heureusement, les 27 documents mis en ligne ne contiennent pas de code source. On peut donc espérer – et c’est l’intention revendiquée de Wikileaks – que les développeurs d’antivirus pourront améliorer leurs offres pour circonvenir au mieux ce genre d’outils. Même si cette somme de connaissances pourrait tout aussi bien donner des idées à certains cybercriminels.
Source :
Wikileaks
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.