Les hackers de la CIA (et de la NSA) cherchent certes à pouvoir hacker tout et n'importe quoi. Mais ce n'est pas parce qu'ils se donnent les moyens de pouvoir «surveiller n’importe qui» qu'ils chercheraient pour autant à «espionner tout le monde».
En février 2015, l'éditeur d'antivirus Kaspersky rendait public un rapport sur l'Equation Group, présenté comme «l'un des groupes de cyberpirates les plus élaborés au monde et l'un des plus menaçants que nous ayons vu», à l'origine de «la plus vaste opération de piratage de tous les temps», qui «surpasse tout ce qui a été fait en matière de complexité et de sophistication» dans le domaine du cyberespionnage. La NSA n'était pas formellement nommée dans le rapport mais, comme le soulignait Le Monde, la ressemblance troublante avec plusieurs logiciels espion préalablement attribués à la NSA, le très haut niveau de sophistication, ou encore la liste des principaux pays cibles (Iran, Russie, Pakistan, Afghanistan), laissaient peu de doute.
L'été dernier, de soi-disant «courtiers de l'ombre» («The Shadow Brokers», en anglais) mettaient aux enchères une partie de l'arsenal des logiciels espion d'Equation group. Mise à prix: un million de Bitcoins, soit... plus de 500 millions de dollars, une somme délirante qui les poussera, quelques mois plus tard, à ramener leurs prétentions à 10.000 Bitcoins, puis 1000 Bitcoins (780.000 dollars). The Intercept, le site créé pour maximiser les documents founis par Edward Snowden, a depuis confirmé que ces logiciels espions émanaient bien de la NSA. De nombreux observateurs estiment que «The Shadow Brokers», qui n'ont de cesse de brocarder les États-Unis dans des communiqués incendiaires, seraient liés aux services de renseignement russes. Même si leur auteur serait, d'après une analyse linguistique, un anglophone tentant de se faire passer pour un étranger.
Le mot de passe révélé
La saga, qui tenait en haleine les professionnels de la sécurité informatique depuis des mois, vient de connaître un étonnant rebondissement, le week-end dernier: dans un nouveau communiqué, «The Shadow Brokers» déplorent la politique de Donald Trump (qu'ils soutenaient jusque-là), fustigeant tout à trac la frappe aérienne américaine en Syrie, la guerre qu'y mèneraient les «sionistes» et Goldman Sachs, la globalisation et les socialistes, tout en déplorant le fait qu'il aurait oublié la «base» de ceux qui l'avaient élu, et ont donc rendu public le mot de passe permettant de déchiffrer une centaine des logiciels espion d'Equation Group... gratuitement.
Pour autant, et étrangement, une quinzaine d'articles seulement y ont été consacrés dans les médias francophones... alors même que des centaines d'articles avaient évoqué Vault 7, du nom de code utilisé par WikiLeaks pour désigner les logiciels espions de la CIA. Une disproportion d'autant plus étonnante que la CIA est a priori bien moins compétente –dans le domaine «cyber» en tout cas– que la NSA.
De fait, le contenu de l'archive des Shadow Brokers serait «décevante», les données «pour la plupart datées», au sujet de vulnérabilités «anciennes et déjà connues», voire «obsolètes», ciblant essentiellement des serveurs informatiques (et non des ordinateurs de particuliers), a fortiori majoritairement situés en Asie. On y trouve certes aussi la trace du piratage de quelques universités européennes, ou encore du défunt portail web francophone CaraMail (étrangement ciblé par la NSA), mais aucune accroche réellement «grand public».
A contrario, les logiciels espion de la CIA visaient, eux, des utilisateurs finaux. On avait ainsi pu lire que la CIA peut utiliser iPhones et télés Samsung pour vous espionner (AFP), que la CIA pirate et espionne les téléphones et applications du monde entier (Challenges, avec Reuters), que la CIA peut hacker les téléphones, les télés… tout (USA Today), que 85% des smartphones dans le monde sont contrôlés par la CIA (RT), et j'en passe.
A ceci près que les documents rendus publics par Wikileaks révèlaient aussi que ces logiciels nécessitaient tout d'abord qu'un agent de la CIA accède physiquement aux terminaux à infecter: voir «Non, la CIA ne peut pas prendre le contrôle de votre TV connectée Samsung à distance» ou «La CIA ne va pas pirater votre MacBook ou votre iPhone» sur Numerama. Et sans oublier que les failles exploitées par la CIA sur MacBook et iPhone avaient été corrigées depuis des années par les équipes de sécurité d'Apple, tout comme avaient également été corrigées par Google les failles concernant les systèmes Chrome et Android.
De plus, et contrairement à ce qu'avaient avancé de nombreux médias, les documents rendus publics par WikiLeaks montraient également que la CIA n'a pas piraté WhatsApp, Telegram ou Signal et que, a contrario, l’affaire Vault 7 prouve l’efficacité du chiffrement des communications utilisé pour sécuriser ces messageries instantanées, nonobstant le fait qu'une bonne partie des failles et vulnérabilités exploitées par la CIA étaient elles aussi connues depuis des années.
La spécificité des armes cyber
Enfin, la CIA n'a pas vocation à faire de «surveillance de masse», mais bien de l'espionnage (très) ciblé. La question n'était donc pas tant, comme le laissaient entendre la majeure partie des médias, de savoir si votre ordinateur ou téléphone portable pourrait techniquement être piraté par la CIA, que de savoir si vos activités pourraient vous valoir d'être désigné par la CIA comme une cible suffisamment importante pour qu'elle décide en outre d'utiliser son cyber-arsenal pour tenter de vous espionner.
Or, et comme l'avait expliqué Bernard Barbier, l'ancien directeur technique de la DGSE, les armes «cyber» ne sont pas des armes «comme les autres», dans la mesure où elles peuvent être récupérées, analysées, et donc réexploitées, contrairement aux armes classiques, conçues pour exploser, et donc être détruites après avoir été utilisées.
À LIRE AUSSIDit autrement, et à mesure qu'un logiciel espion n'a généralement pas pour vocation de s'auto-détruire mais bien de s'installer à demeure, pendant des mois voire des années (le terme consacré évoque une «menace persistance avancée», ou APT en anglais), les services de renseignement sont conscients qu'il pourrait aussi permettre à l'espionné de pouvoir remonter jusqu'à l'espionnant, voire... de réutiliser ledit logiciel espion, et ne prendraient donc pas le risque de l'installer n'importe où et n'importe comment. Une chose est de pouvoir «surveiller n’importe qui», une autre est de vouloir «surveiller tout le monde».
Comme l'a résumé The Grugq, l'un des plus fins observateurs des espions cyber, se focaliser à outrance sur les failles 0day (du nom donné aux vulnérabilités non corrigées, et exploitées par certains services de renseignement) est aussi ridicule et contre-productif que de n'être obsédé que par la seule menace que représenteraient des ninjas, plutôt que de craindre les maladies cardio-vasculaires.
Nonobstant le fait que vous risquez bien plus de voir votre boîte mail piratée dans le cadre d'une campagne d'hameçonnage (phishing, en anglais) que d'être ciblé par la CIA, et que vous feriez donc mieux d'activer la double authentification et d'utiliser un gestionnaire de mot de passe que de craindre les cyber «men in black»:
You are going to be phished long before you are going to be hit with CIA 0days. Enable 2FA and get a password manager.
— the grugq (@thegrugq) 8 mars 2017
Comprendre la culture du renseignement
Depuis que, grâce à Edward Snowden, le renseignement cyber est devenu «grand public», le nombre d'amalgames et le niveau de parano véhiculés sur ces sujets dans la majeure partie des médias sont –hélas– souvent inversement proportionnels à la qualité de leurs infos et analyses. Il est en effet difficile de pouvoir appréhender (et encore plus d'analyser) les subtilités (et la complexité) du renseignement technique sans disposer, d'une part d'une culture du renseignement, d'autre part d'une culture technique, notamment en sécurité des systèmes d’information (regardez donc Crypto, le webdoc pour une introduction grand public à ces questions).
Or, les services de renseignement, qui n'ont pas pour habitude de communiquer, et dont les modus operandi sont majoritairement classifiés, font peur. Tout comme les hackers, diabolisés depuis des années, alors qu'ils sont bien plus nombreux à développer outils, logiciels et systèmes permettant de sécuriser et protéger nos données qu'à «pirater» ou espionner qui ou quoi que ce soit.
Dès lors, il est somme toute logique que les hackers des services de renseignement fassent encore plus peur. Kellyanne Conway, conseillère de Donald Trump, a ainsi récemment déclaré qu'ils pouvaient transformer un micro-ondes en caméra. S'il est, effectivement, possible de pirater à peu près tout et n'importe quoi, dès lors qu'il s'agit de systèmes informatiques ou électroniques, on n'a pas encore réussi, par contre, à transformer un four micro-ondes lambda en caméra de vidéosurveillance.
#KellyanneConway
I thought the whole microwaves spying on us was bunk till I caught my stove & microwave battling it out this morning... pic.twitter.com/NzzdsVBW3X
— The Anti-Trump (@IMPL0RABLE) 13 mars 2017
Reste que la propension qu'ont la majeure partie des journalistes et médias, dès lors qu'il est question des hackers ou des services de renseignement en général, et des hackers des services de renseignement en particulier, à relayer tout et n'importe quoi, à recopier/coller ce que d'autres ont écrit, sans vérifier, voire à en rajouter dans le marketing de la peur, laisse pantois. Mais explique aussi, vu le niveau de technicité des logiciels rendus publics ce week-end, pourquoi vous en avez bien moins entendu parler que de ceux rendus publics par WikiLeaks.
La CIA, la NSA, la DGSE, WikiLeaks, les «hackers», la «cyberguerre» ou le «deep web» ne devraient pas être des gros mots qui font peur, ni des chiffons rouges qu'on agitent devant la plèbe. La vie quotidienne des espions ne ressemble pas à celle de James Bond, et l'évocation de ce que font (#oupas) les services de renseignement en général, et les hackers en particulier, ne saurait, de même, sombrer dans le sensationnalisme, la caricature, les amalgames ni les raccourcis.
Cette façon de surfer sur la peur a un nom: le «FUD» (pour «Fear, uncertainty and doubt», littéralement «peur, incertitude et doute»), technique marketing utilisée (notamment) par Microsoft, il fut un temps, pour diaboliser les défenseurs des logiciels libres et les hackers. Et largement reprise, depuis, par les propagateurs de «fake news», trumperies et autres désinformations ayant un intérêt politique ou marchand à entretenir ce business de la peur.
Une surveillance ciblée
En tout état de cause, la multiplication de ces dernières révélations et fuites sur les logiciels espion de la CIA et de la NSA ne permettent en aucun cas d'avancer que nous serions aujourd'hui plus surveillés qu'avant. A contrario, elles documentent d'abord et avant tout des opérations de surveillances essentiellement «ciblées» (et non «de masse»), exploitant des failles de sécurité qui (pour la plupart) ont par ailleurs été corrigées, et depuis des années.
A défaut de nous permettre de savoir ce que font réellement, aujourd'hui, la CIA et la NSA, cette série de «fuites» permet aussi et surtout de documenter ce qu'ils ont pu faire auparavant, et donc aussi de permettre aux éditeurs d'antivirus et chasseurs de malwares et logiciels espion de pouvoir d'une part indentifier les responsables d'attaques jusque-là non-attribuées, d'autre part de pouvoir améliorer la reconnaissance de leurs signatures et modus operandi, et donc, in fine, de pouvoir plus et mieux nous en protéger.
On n'avait jamais disposé d'autant de traces, preuves, indices et informations susceptibles de nous aider à nous prémunir de ce genre d'attaques, virus et logiciels espions qualifiés de «state-sponsored attacks» parce qu'exploités par des entités gouvernementales disposant de suffisamment de talents, d'argent et de temps pour mener de telles opérations complexes (et coûteuses). Contrairement à ce que nombre de journalistes non-experts en la matière ont pu en dire, ces révélations représentent donc plutôt de bonnes nouvelles en terme de sécurité informatique et de protection de la vie privée.
