WikiLeaks vient de commencer une série de révélations, nom de code Vault 7, sur les cyberarmes de la Central Intelligence Agency (CIA), la principale agence civile de renseignement à l’étranger des États-Unis.

La première partie de ces révélations, Year Zero, est composée de 8 761 documents et fichiers expurgés, de 2013 à 2016, qui auraient été illégalement volés par des sous-traitants dans le réseau hautement sécurisé du Center for Cyber Intelligence de la CIA à Langley, en Virginie.

Il n’y a eu aucune confirmation officielle que les fichiers proviennent bien de la CIA, mais des spécialistes comme le dénonciateur Edward Snowden estiment que ces documents sont probablement légitimes.

Les documents montrent que la CIA a développé un arsenal de cyberarmes impressionnant, peut-être même effrayant, affectant toutes les plateformes informatiques les plus utilisées : Windows, macOS, Linux, équipements de réseaux, et bien sûr Android et iOS. Et même les télévisions Samsung SmartTV, que la CIA peut utiliser pour enregistrer les conversations.

Notons qu’il n’est pas étonnant que la CIA ait développé, reçu d’alliés comme le FBI, la NSA, et même des agences étrangères comme le GCHQ, ou acheté à des tiers des outils d’espionnage, car c’est sa mission.

Notons également que la CIA n’est pas la NSA : jusqu’à preuve du contraire, elle espionne des cibles spécifiques, et non des populations entières.

En ce sens, il nous semble que, contrairement à ce qu’affirme Julian Assange, le chef de WikiLeaks, ces révélations n’auront jamais la même portée que les révélations du dénonciateur Edward Snowden, qui a révélé aux Américains et au monde l’étendue de la surveillance de masse, sans discrimination, de la NSA.

Ce qui ne retire rien à la valeur des révélations de WikiLeaks, et les enseignements ou questions que l’on peut en tirer :

Vulnérabilités jour zéro

La CIA ne semble pas s’être pliée à la politique gouvernementale décidée par le Président Obama en janvier 2014, qui impose aux agences de divulguer toutes les vulnérabilités de sécurité jour zéro (inconnues jusqu’ici) aux entreprises qui développent le matériel ou le logiciel affecté.

Les vulnérabilités jour zéro mettent en effet en danger un grand nombre de personnes ou d’infrastructures, et si une organisation l’a découverte, il n’est pas impossible que d’autres personnes malicieuses l’aient également découverte. Il est donc essentiel de les corriger au plus vite.

Une agence tenant absolument à ne pas dévoiler une vulnérabilité est tenue de motiver ses raisons lors du Vulnerability Equities Process (VEP) devant un panel de représentants du Department of Homeland Security, du Department of Commerce et des autres agences en charge de la sécurité des infrastructures critiques des États-Unis.

Pour la première fois, ces documents prouvent que le gouvernement américain a payé des tiers pour laisser des logiciels américains rester vulnérables.

Le risque de prolifération des cyberarmes

Toutes les armes sont dangereuses, et peuvent se retrouver aux mains des ennemis.

La dissuasion nucléaire est de ce fait toujours controversée, même dans les pays équipés. Fort heureusement, il est relativement difficile et coûteux pour un pays de s’en équiper, ce qui limite sa prolifération.

Les cyberarmes en revanche, ne sont que des logiciels. Leur distribution et leur copie ont un coût marginal de zéro, ce qui facilite leur prolifération, et il est pratiquement impossible de contrôler le stock de cyberarmement.

Le 8 février dernier, un grand jury fédéral a accusé Harold T. Martin III de 20 chefs d’inculpation de mauvaise gestion d’informations classifiées : il aurait amassé 50 000 gigaoctets (!) de documents, de logiciels et de code source de la NSA et de la CIA

La question est donc de savoir si trop c’est trop, et si l’arsenal de cyberarmes de la CIA n’est pas démesuré par rapport à sa mission.

Le Consulat des États-Unis à Francfort est une base secrète de pirates

Les États-Unis utilisent leur Consulat de Francfort en Allemagne comme base de renseignement pour l’Union européenne, le Moyen-Orient et l’Afrique.

Les pirates de la CIA reçoivent des passeports diplomatiques et une couverture du State Department, ce qui leur permet d’agir et de se déplacer dans 26 États européens, y compris la France et la Suisse.

Ils sont équipés pour espionner et poser des portes dérobées sur des systèmes déconnectés d’Internet, comme des bases de données de la police. Avec Fine Dining, ils ont 24 outils à disposition pour exfiltrer des informations.

D’après une révélation précédente, la CIA aurait ainsi infiltré et espionné tous les partis politiques français sept mois avant les élections présidentielles de 2012. L’auto-proclamation de Sarkozy, l’Américain, n’aura pas suffi à protéger ce dernier de la CIA.