Le mardi 7 mars 2017, Wilikeaks publiait une salve de documents, datés de 2013 à 2016, le tout sous un nom bien étrange « Vault 7, Year Zero« . Ayant lu pas mal de propos inexacts sur ce dossier, j’apporte ma pierre à l’édifice. N’hésitez surtout pas à me signaler la moindre faute.
Premièrement, de quoi parle-t-on ?
Vault 7, Year Zero : on parle de 8761 documents issus de la CIA, récupérés on ne sait comment, par on ne sait qui et transmis à Wikileaks. Vu la nature des documents, on peut supposer que la source est une personne interne à la CIA, qui dispose ou disposait d’un accès assez large à de nombreux documents confidentiels.
En vulgarisant, on pourra dire que la source est une forme de Snowden de la CIA. Pour rappel, Edward Snowden est la source qui a récupéré de très nombreux documents sur les techniques et programmes de surveillance et d’espionnage de la NSA.
Dans ces documents, on trouve des documents qui détaillent des procédures d’espionnage mais aussi, surtout même, des informations relatives au fait que la CIA dispose d’un impressionnant catalogue d’exploits et de failles en tout genre, la CIA n’hésitant pas à aller acheter des failles ou des 0day ça et là. Pour information, une « 0day » est une faille officiellement non déclarée et non documentée, une brèche qui peut mettre du temps à être connue et colmatée, bref, le paradis pour les agences type CIA, NSA et autres.
Un exemple ?
Bien que cité sur de nombreux articles, je vais revenir sur quelques détails pour vous donner de la matière.
Dans Vault 7, Year Zero, on peut, par exemple, parler du programme Weeping Angel. Ce programme permet, selon la documentation mise à disposition, de transformer votre TV Samsung en véritable petit espion via un mode « fake-off » : en apparence, votre téléviseur est éteint, en réalité il ne l’est pas. Il va transmettre un ensemble de données à la CIA, données paramétrables, de l’enregistrement audio au format Ogg à l’historique de navigation disponible sur la Smart TV. Le programme peut également glaner des informations disponible sur le réseau local où la TV est connectée, tenter de reconnecter la TV au réseau Wi-Fi, bloquer les mises à jour du téléviseur… de nombreuses fonctionnalités donc.
On trouve bien d’autres failles, tant pour les TV Samsung que pour appareils mobile de chez Apple ou qui tournent sous Android.
Une faille ok, mais c’est grave ?
Avant de parler de situation grave ou non (spoiler, c’est oui), il faut comprendre à cette étape qu’on ne parle pas de failles liées à une application, mais de failles liées au système d’exploitation ou au matériel de la machine. C’est peut-être flou, je vais donc donner un exemple plus parlant.
Vous utilisez une application qui protège certaines de vos données, vos mails, vos SMS, vos appels, avec des noms comme Silence, APG combiné à K9 mail ou Signal… avec une faille de ce genre, cette protection ne sert strictement à rien.
A rien. Et ce n’est pas un abus de langage. Avec le contenu publié sous Vault 7, Year Zero, on parle là de failles qui touchent ce qui fait fonctionner ces applications, le système d’exploitation. Avoir accès à une partie ou à l’ensemble du système rend toute protection applicative inutile.
Un peu comme avoir un manteau de fourrure en plein Sahara : ça ne sert plus à rien.
Donc Signal & Co se sont fait piratés ?
NON ! Non, non, non et non. Signal, Silence et j’en passe ne se sont pas fait pirater, je vous renvoie au point précédent pour bien comprendre la situation.
La CIA s’est attaquée au système d’exploitation qui fait tourner ces applications et pas aux applications et les protocoles de chiffrement de ces dernières sont toujours considérés comme fiables, elles n’ont pas été cassées.
Pour donner une autre analogie, c’est comme si vous aviez une maison extrêmement solide, très résistante… construite sur des pilotis. Et que la CIA avait moyen de détruire ces pilotis. Tout le système s’effondre mais le problème ne vient pas de la maison.
Ok, donc on est encore une fois tous surveillés ?
Non. La réponse est ferme, définitive et catégorique, non. Du moins pas grâce à ces programmes. Rien dans les révélations faites par Wikileaks ne permet de la surveillance massive.
Pour pouvoir prendre la main sur un Smartphone, il faut d’abord y avoir un accès physique, ce qui veut dire que la CIA (ou autre) doit pouvoir mettre littéralement la main sur votre téléphone.
Pareil pour votre téléviseur Samsung, la CIA doit venir physiquement faire quelque chose dessus.
Dès lors, on comprend aisément qu’il est impossible que tout le monde soit espionné. Ces techniques ne sont pas faites pour de l’interception massive ou de l’espionnage large, mais pour un usage particulièrement ciblé, dans des conditions très spécifiques.
Alors certes ces révélations font peur, l’arsenal technologique mis à disposition est impressionnant mais pour autant, il faut garder la tête froide et relativiser, bien lire les documents présentés et ne pas sombrer dans une paranoïa qui n’aurait aucune justification ici, à la différence de l’arsenal d’interception massive dévoilé par Snowden du côté de la NSA.
En espérant avoir apporté quelques éclaircissements à la situation.
« UnE faille ok, mais c’est grave ? » (le « e » de faille).
Merci pour l’article et bonne continuation (vous pouvez supprimer mon commentaire).
Bonsoir, merci pour la correction, je n’avais pas vu le commentaire avant (mais je ne supprime pas les commentaires :)).
<>
Récolter un maximum de données, sur un maximum de personnes, fait que ces « techniques » sont utilisées pour l’espionnage de masse pour établir ton profil et, qui sait, dans le futur prédire tes actions. Elles ne sont peut-être pas utiles en ce moment, ces données, mais elles le serons très bientôt, si pas déjà…
C’est une nouvelle science détournée, encor une fois, principalement pour de mauvaises raisons et non pour le bien de l’humanité…
DataScience, danger ou non ?…