Passer au contenu

Wikileaks révèle comment la CIA compromet Mac et iPhone

Quinze jours après la première vague de documents de la CIA, le site dévoile une poignée de nouveaux fichiers qui détaillent le fonctionnement d’outils permettant d’écouter et de prendre le contrôle des Mac et d’un modèle d’iPhone.

Bonne nouvelle !  Vous aviez sans doute fini d’éplucher les quelque 8 761 documents secrets de la CIA que Wikileaks a diffusé le 8 mars dernier. Il était donc temps que la deuxième salve de Vault 7 fasse à nouveau trembler le petit monde du renseignement.

La terre d’asile des lanceurs d’alerte en ligne vient donc de lâcher une petite douzaine de nouveaux documents, regroupés sous l’appellation Dark Matter, ou Matière noire. Au fil de ces PDF sont décrits différents outils et malwares aux noms qui claquent (Sonic Screwdriver, DerStarke, Triton, Dark Mallet ou encore DarkSeaSkies). Ils sont ainsi présentés par le menu et leur fonctionnement expliqué pour qui aurait à les utiliser. S’ils sont tous différents, ils ont tous un point commun : ils s’attaquent aux ordinateurs d’Apple. Les Mac, réputés plus sûrs – ce qui est généralement vrai pour différentes raisons- sont donc potentiellement compromis par ces malwares et périphériques.

Un pied de biche en forme de tournevis

Ainsi, Sonic Screwdriver (PDF – Tournevis sonique, vraiment ?) permet à un attaquant de booter et d’exécuter du code, un malware par exemple, depuis le périphérique de son choix, comme une clé USB ou un lecteur optique (embarqué ou connecté en USB). Une manipulation qui est normalement rendue impossible si la séquence de boot UEFI est protégée par un mot de passe (elle ne peut donc pas être altérée).

Il faut toutefois que la personne malintentionnée ait accès au Mac (portable ou de bureau) pour y connecter un adaptateur Thunderbolt vers Ethernet modifié. C’est sur ce petit dongle qu’est installé un firmware qui va scanner tous les supports accessibles et lancera le boot UEFI.

Pour les aspirants espions, le PDF décrit en détails comment flasher l’adaptateur, liste les MacBook Air et MacBook Pro qui ont été testés pour cette attaque et explique même avec quels malwares l’associer.

Une palette d’outils toujours d’actualité ?

Car Sonic Screwdriver est évidemment un simple intermédiaire, un moyen d’accéder et de compromettre des Mac pour les espionner. L’agent de la CIA doit donc ensuite recourir à des malwares maison. Et il a visiblement l’embarras du choix. Il y a par exemple Triton pour macOS, et DerStake, sa version “persistante”. Une vraie plaie : l’utilisateur aura beau formater son disque dur et réinstaller un système d’exploitation à partir de zéro, la machine demeurera compromise.

Ces malwares jouent le rôle de mouchards, ils sont donc capables de communiquer avec l’extérieur en utilisant les connexions du navigateur. Un moyen habile d’éviter d’être détecté par des outils de surveillance du réseau, comme Little Snitch. Ils sont par ailleurs capables de modifier/créer/supprimer des fichiers sur la machine qui les héberge.

Il est intéressant de noter que le manuel d’utilisation de DerStake, qui est publié par Wikileaks aujourd’hui, date de 2013. On pourrait donc se demander si l’outil est encore d’actualité. A en croire Wikileaks, d’autres documents de Vault 7 indiquent que la CIA l’utilisait toujours l’année dernière, en 2016, donc. Par ailleurs, l’agence américaine serait en train de développer une version 2.0 de son outil, sans doute pour s’adapter aux nouveaux Mac et macOS.

Un sale coup pour Apple, dont la politique en matière de protection des données de ses utilisateurs est très ferme, au point d’ailleurs de l’avoir opposé à la justice américaine qui voulait pénétré de force dans l’iPhone d’un terroriste.

iPhone 3G.jpg

L’iPhone n’y a pas échappé 

Wikileaks dévoile également un document expliquant le fonctionnement d’un autre outil, appelé NightSkies. A la fois mouchard, loader et implant, NightSkies (PDF) est capable de compromettre des iPhone. Plus précisément les iPhone 3G, sortis en 2008. Il s’exécute en tâche de fond et permet de télécharger ou téléverser des documents depuis l’appareil. L’attaquant pourra également exécuter du code et contrôler totalement l’appareil.

Heureusement, NightSkies, dans sa version 1.2 tout au moins, ne pouvait pas être installé à distance. Il fallait un accès physique à l’appareil. Une fois dans la place, l’outil surveillait certains répertoires de l’iPhone, comme l’historique de navigation Web, le cache des vidéos YouTube regardées, le cache des applications de cartographie ou les métadonnées des mails. Mais ce n’est pas tout, les agents de la CIA pouvaient également accéder au carnet d’adresses de l’utilisateur, à ses SMS ou à son journal d’appels.

Au-delà de cette violation de la vie privée des utilisateurs, le plus préoccupant est que cet outil est pensé pour être installé sur un iPhone sortant d’usine. Le renseignement américain aurait ainsi pu compromettre les smartphones bien avant qu’ils soient remis aux cibles éventuelles, y compris au sein de la chaîne d’approvisionnement, laisse entendre Wikileaks. On peut dès lors imaginer que de nombreux iPhone ont été « contaminés » pour ne finalement en espionner qu’un…

Apple réagit, pas de panique, tout est corrigé

Difficile de savoir si la CIA a développé d’autres outils pour mettre à mal la sécurité des iPhone suivants, sortis depuis 2008, mais il est fort possible que ce soit le cas. Mais la tâche des hackers de l’agence de renseignement est certainement bien plus complexe aujourd’hui, avec l’arrivée des puces 64 bits et de la Secure Enclave.
Depuis hier soir, date de la première publication de cet article, Apple a réagi et publié un commentaire en anglais que nous avons traduit comme suit :

Rappelons qu’après les premières révélations Vault 7, Wikileaks aurait communiqué des conditions aux géants de la tech potentiellement concernés avant d’accepter de leur envoyer les informations les concernant.
La dernière partie du message d’Apple donne donc clairement la position de la société sur cette pratique et prend ses distances par rapport à des documents secrets qui ont été rendus publics après avoir été dérobés d’une manière ou d’une autre. Apple réaffirme donc sa position légaliste et rassure aussi ses utilisateurs.

S’il est évident qu’aucun appareil n’est totalement à l’abri d’une attaque réussie, surtout quand un accès physique est possible, les utilisateurs inquiets peuvent néanmoins appliquer quelques pratiques élémentaires pour se protéger au mieux.

  • Ne pas laisser l’appareil sans surveillance.
  • Le verrouiller dès qu’il s’absente ou ne l’utilise pas.
  • Utiliser le chiffrement des données, avec FileVault par exemple, pour les Mac.
  • Choisir des mots de passe forts, comprenant des lettres, des chiffres, des majuscules et des symboles. Il existe des sites Web ou des applications pour en générer si vous manquez d’inspiration.
  • Mettre l’iPhone à jour aussi souvent que possible et plutôt grâce à la connexion Wi-Fi de l’appareil, pour ne pas avoir à le connecter à un ordinateur dont la sécurité pourrait avoir été compromise.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre FONTAINE