Près de quatre ans après les révélations d'Edward Snowden sur la NSA, les petits secrets du renseignement américain sont à nouveau étalés sur la place publique. Mardi 7 mars, l'organisation Wikileaks a mis en ligne plusieurs milliers de documents internes détaillant plusieurs dizaines de programmes d'espionnage électronique de la CIA. Baptisée "Vault 7", cette publication est présentée comme la plus importante fuite de documents confidentiels de l'histoire de l'agence du renseignement extérieur américain. Wikileaks affirme détenir des informations sur plus de 500 programmes au total et promet de les publier dans les prochaines semaines.
La première partie, "Year Zero", compile près de 9.000 fichiers couvrant une période s'étalant de 2013 à 2016. Elle met à nu les capacités d'espionnage de la CIA et le recours à des pratiques particulièrement intrusives. Selon ces documents, la CIA aurait employé de nombreux ingénieurs et hackers pour élaborer des milliers de logiciels malveillants et développer un arsenal technologique capable aussi bien de transformer des télévisions et voitures connectés en mouchards, d'espionner des iPhone et des smartphones Android ou encore de contourner des antivirus commerciaux.
Ces milliers de documents doivent encore être analysés par des experts et des journalistes. Mais plusieurs spécialistes du renseignement les jugent d'ores et déjà authentiques. "Je suis encore plongé dans cette publication mais ce que Wikileaks a sorti est réellement important. Et paraît authentique", a tweeté Edward Snowden mardi soir. Ces révélations doivent également être nuancées à la lumière de la nature de Wikileaks, une ONG militant pour la transparence se réclamant d'une promesse de neutralité que ses détracteurs voient au contraire comme un acteur géostratégique à la solde du Kremlin depuis l'affaire des emails qui a empoisonné la campagne présidentielle d'Hillary Clinton.
Sans surprise, la CIA n'a pas confirmé l'authenticité des données publiées par Wikileaks. Dans un communiqué, l'agence américaine a rappelé les grandes lignes de sa mission, à savoir "collecter activement des renseignements afin de protéger l'Amérique des terroristes, des nations hostiles et d'autres adversaires". Une porte-parole de la CIA a quant à elle accusé Wikileaks d’œuvrer pour les adversaires des États-Unis en révélant ses méthodes.
Plus qu'elle ne révèle la capacité de la CIA à pénétrer dans des appareils électroniques, "Vault 7, Year Zero" détaille les méthodes utilisées par l'agence dans cette perspective. Parmi les outils les plus marquants, "Weeping Angel", développé en partenariat avec le MI5 britannique, permet de transformer des téléviseurs connectés Samsung en espion pour enregistrer des sons à proximité et les transmettre à des serveurs distants alors que le poste semble hors-tension. L'agence aurait également développé des logiciels d'espionnage capables de contourner la protection des antivirus commerciaux afin de copier le contenu d'un disque dur.
Plusieurs programmes décrivent comment la CIA a mis au point des logiciels espions pour infecter des iPhone et accéder à distance à la géolocalisation, aux SMS, aux conversations, à la caméra et au micro de la cible. Wikileaks affirme également que la CIA a eu connaissance de 24 failles 0day -non documentées et pas encore corrigées - lui permettant d'espionner des appareils Android. Plus largement, l'agence aurait tenu à jour un vaste catalogue de failles de sécurité - achetées ou transmises par des agences amies - pour les maintenir au mépris de la sécurité des utilisateurs.
Contrairement aux programmes secrets de surveillance de masse développés par la NSA et révélés par Edward Snowden en 2013, ceux de la CIA semblent relever de l'espionnage ciblé. Ces armes numériques sont vraisemblablement utilisées pour suivre les activités de suspects ou d'entreprises. Les documents indiquent que la plupart d'entre elles nécessitent d'ailleurs un accès physique à la machine visée. La CIA ne peut pas transformer un téléviseur connecté en machine de surveillance à distance. Elle doit accéder au domicile de la cible pour l'installer via un port USB. Elle ne peut pas non plus installer de logiciel espion pour iPhone et smartphones Android sans mettre la main dessus. Et les logiciels servant à tromper les antivirus doivent être installés à partir d'un CD ou d'un DVD vierge.
Plusieurs médias américains ont affirmé dans la foulée de la publication des documents que la CIA avait la capacité de contourner le chiffrement de services de messagerie comme WhatsApp, Signal ou Telegram et d'accéder au contenu de leurs messages. En réalité, il semble que la CIA n'a pas réussi à casser le chiffrement de ces applications. Les techniques décrites dans "Vault 7, Year Zero" permettent de collecter les messages et d'espionner les communications avant qu'ils ne soient chiffrés. La CIA est en fait parvenue à percer les systèmes d'exploitation sur lesquels sont installés ces applications chiffrées.
"Les révélations de Wikileaks portent sur des logiciels malveillants infiltrés dans des téléphones et pas sur un contournement du protocole de chiffrement de Signal", a réagi mardi Open Whisper Systems, qui développe l'application Signal. "Il est incorrect de dire que la CIA a piraté ces applications et leur chiffrement. Mais les documents montrent qu'iOS et Android ont été piratés, ce qui est un problème beaucoup plus important", a souligné de son côté Edward Snowden.
À ce stade des révélations, le principal écueil pour les citoyens "normaux" se situe du côté des failles de sécurité et des portes dérobées délibérément entretenues et non corrigées par la CIA. Il existe un risque qu'elles tombent entre de mauvaises mains et mettent en péril la sécurité informatique de millions d'utilisateurs. Après l'affaire Snowden, les agences de renseignement s'étaient pourtant engagées à communiquer plus rapidement les failles de sécurité qu'elles mettent au jour aux constructeurs de produits et logiciels technologiques.
Les documents mis en ligne listent notamment 14 failles de sécurité permettant de tracer et d'espionner les utilisateurs d'iPhone. Apple a réagi en affirmant que la dernière mise à jour de son logiciel iOS avait corrigé la plupart de ces vulnérabilités et que pratiquement 80% des utilisateurs l'avaient déjà téléchargée. Les autres - les utilisateurs d'iPhone et d'iPad utilisant d'anciennes versions d'iOS qui ne sont plus éligibles aux mises à jour de la marque - courent le risque que ces brèches soient exploitées un jour.
La donne est plus compliquée pour les utilisateurs de smartphones Android, qui fournissent 80% du parc mondial d'appareils. Chaque constructeur doit adapter les mises à jour déployées par Google à ses propres produits, qui fonctionnent avec une version légèrement modifiée du logiciel, ce qui nécessite un délai supplémentaire. Et la plupart des modèles d'entrée de gamme ne tournent tout simplement pas avec la dernière version du logiciel.