Nouvelles révélations de Wikileaks, 27 documents révèlent comment l’agence de renseignement américaine exploite un puissant logiciel modulaire et persistant pour espionner nos PC sous Windows, sans être repéré.

Wikileaks, le site de Julian Assange, vient de frapper un coup en révélant une nouvelle fois des pratiques de la CIA (Central Intelligence Agency), l’agence de renseignement américaine. Au début du mois de mars, nous avions évoqué l’usage par la CIA d’outils pour pénétrer le Mac et l’iPhone. Aujourd’hui, c’est au tour des PC sous Windows de connaître le même sort.

Wikileaks a dévoilé 27 documents qui expliquent les pratiques de l’agence. Tous les documents constituent essentiellement un manuel d'utilisateur que l'agence a signalé comme « secret » et qui sont censés être accessibles uniquement par ses membres.

WIkiLeaks-Tweet

Une usine à malwares

La principale révélation porte sur un outil qui répond au doux nom de Grasshoper (sauterelle). Il s’agit d’un ensemble de fonctionnalités réunies autour d’un langage qualifié de flexible, qui permet de définir des règles d’usages à partir de la récolte de détails techniques, comme le système d'exploitation et l'antivirus des PC cibles. Ces règles vont de la surveillance à la vérification de la configuration de l’ordinateur cible.

C’est une technologie avancée, intégrée à une usine à conception de malwares, pour fabriquer des menaces à la carte destinées aux environnements Windows. Grasshoper a la capacité de détecter si un système de protection est en place, et ainsi de s’adapter à ce système pour ne pas être lui-même détecté.

Recycler du code mafieux russe !

De plus, Grasshoper dispose d’un module appelé Stolen Goods, qui lui offre la capacité de modifier des clés de registre, et de s’intégrer au planificateur de tâches de Windows afin de les réinstaller toutes les 22 heures via une corruption de Windows Update. Stolen Goods est dérivé du code de Carberp, un malware qui aurait été développé par la mafia russe. Le but ultime serait de disposer sur le poste piraté ce que les documents appellent « une charge utile persistante ».

Un troisième lot de révélations de Wikileaks porte sur Marble, le code source d’un framework anti-forensic secret, principalement un ‘obturateur’ ou un ‘emballeur’ exploité par la CIA pour cacher la source réelle de son programme malveillant.

« Grasshopper permet d’installer des outils en utilisant une variété de mécanismes de persistance et de les modifier à l'aide d'une variété d'extensions (comme le chiffrement) », a déclaré WikiLeaks dans son communiqué de presse. Selon le site, le logiciel est fonctionnel sous Windows XP, 7, 8, 8.1 et Windows Server 2003. Et il fonctionne de manière autonome. Les outils dévoilés par Wikileaks auraient été utilisés entre 2012 et 2015. Mais rien de prouve qu’ils sont ou ne sont pas encore exploités.