La nouvelle révélation de WikiLeaks montre comment la CIA avait piraté des Mac et des iPhones

Il y a deux semaines, WikiLeaks a publié des documents relatifs aux techniques et exploits utilisés par la CIA pour pirater les produits des entreprises de technologie. Dans les heures suivant la divulgation des secrets de piratage de l’agence américaine, plusieurs fournisseurs ont réagi pour tenter de rassurer leurs utilisateurs. Apple a pour sa part déclaré que son analyse des documents de la CIA lui permet de dire que la plupart des failles de sécurité dans son système d’exploitation mobile ont déjà été corrigées dans la dernière version d’iOS. Mais, Julian Assange, le fondateur de WikiLeaks, a averti que les fichiers publiés ne représentaient qu’une petite fraction des documents de la CIA qu’il a en sa possession, en promettant que les autres seront divulgués progressivement.

La deuxième vague de documents vient d’être publiée. Il s’agit juste d’une dizaine de documents, la plupart, montrant comment la CIA aurait piraté les produits d’Apple, Mac et iPhone. Les documents mettent en évidence des techniques utilisées par la CIA pour infecter de manière persistante les appareils d’Apple.

Des projets de la CIA permettent par exemple de compromettre le firmware des Mac, de sorte que les infections persistent même si le système d’exploitation est réinstallé. C’est le cas par exemple du projet « Sonic Screwdriver » qui, comme l’explique la CIA, est un « mécanisme d’exécution de code sur des périphériques pendant qu’un ordinateur portable ou un ordinateur de bureau Mac démarre ». Il permet à un attaquant de démarrer son logiciel d’attaque à partir d’une clé USB par exemple, « même lorsqu’un mot de passe est activé sur le firmware ». Bien d’autres attaques ciblent également le firmware des appareils d’Apple.

Un autre document daté de 2008 montre également que la CIA avait mis au point un implant malveillant pour l’iPhone qui aurait pu être physiquement installé sur des iPhone neufs depuis la chaîne d’approvisionnement, explique WikiLeaks dans un communiqué de presse.

L’outil baptisé NightSkies (NS) fonctionne en arrière-plan et est doté de capacités qui permettent de télécharger des fichiers depuis l’appareil, mais également d’installer et d’exécuter des fichiers sur le dispositif. « NightSkies est installé via un accès physique à l’appareil », indiquent les documents de la CIA. NS restera ensuite « endormi » jusqu’à ce qu’une activité soit détectée sur l’appareil.

Lorsque l’activité de l’utilisateur est détectée, NS tentera d’interroger un « Listenning Post » préconfiguré pour récupérer certaines tâches et exécuter des instructions. Précisons que le Listenning Post est une station d’interception de communications électroniques. Les documents de la CIA révèlent que l’activité de l’utilisateur est détectée en surveillant des répertoires spécifiques sur le téléphone, tels que le fichier d’historique du navigateur, le cache vidéo YouTube, le cache de fichiers cartographiques ou les métadonnées des fichiers de messagerie.

Parmi les fonctionnalités de NS, on peut citer entre autres la possibilité de récupérer des fichiers depuis l’iPhone, y compris le carnet d’adresses, les SMS, les journaux d’appels (lorsqu’ils sont disponibles), etc. NS télécharge également des fichiers et des binaires, comme de futurs outils, sur l’iPhone. Il exécute des commandes arbitraires sur le dispositif et donne à la CIA un contrôle total de l’appareil à distance. Le tout est détaillé dans un guide utilisateur qui fournit des instructions pour configurer et installer NS sur un nouveau périphérique d’usine. Le guide comprend également des instructions sur la façon de créer et de maintenir le Listenning Post.

D’après WikiLeaks, il est probable que de nombreuses attaques d’accès physique de la CIA aient infecté la chaîne d’approvisionnement de la société. « Notons que NightSkies a atteint sa version 1.2 en 2008, et est expressément conçu pour être physiquement installé sur les iPhone neufs d’usine », souligne WikiLeaks, qui ajoute que « cela signifie que la CIA infecte la chaîne d’approvisionnement en iPhone de ses cibles depuis au moins 2008 ».

Ce qui est intéressant à noter, c’est que la plupart des documents de la CIA datent de près d’une décennie, à part deux de 2012 et 2013. Sachant par exemple qu’Apple a lancé son iPhone en 2007, la CIA a-t-elle une longueur d’avance dans la mise en place de certaines attaques contre les produits d’Apple ? C’est ce que suggère en effet cette nouvelle vague de documents. C’est également ce que pense Pedro Vilaca, un chercheur de sécurité qui étudie les ordinateurs Apple depuis des années.

D’après Vilaca, les documents montrent que la CIA était peut-être en avance dans la recherche de nouvelles façons de pirater et compromettre les Macs. « Il est intéressant de voir le décalage [temporel] entre le développement des outils de la CIA et la publication de recherches » sur des outils similaires, dit-il. À titre d’exemple, il explique que le Sonic Screwdriver de la CIA semble être la même attaque qu’une autre présentée à la fin de l’année 2014, et surnommée Thunderstrike. L’attaque de la CIA date toutefois de l’année 2012 au moins, d’après sa documentation divulguée par WikiLeaks.

Vilaca ne semble toutefois pas surpris par l’intérêt apparent de la CIA pour les produits d’Apple. Cela se justifie selon lui par la catégorie d’utilisateurs des produits d’Apple. « On dirait que la CIA est très intéressée par les cibles Mac / iOS, ce qui est logique puisque des cibles de grande valeur aiment les utiliser », explique Vilaca.