La dernière publication des dossiers Vault7 de Wikileaks, considérés par beaucoup comme contenant des informations sur les techniques de piratage de la CIA, a mis en lumière un logiciel malveillant dont le but est d’infecter les PC non connectés à Internet, en utilisant des clés USB.

Les attaques informatiques exposées par l’organisation de Julian Assange jeudi exploitent des vulnérabilités semblables à celles détectées au cours des fameuses attaques Stuxnet, considérées comme ayant été perpétrées par les Etats-Unis et Israël afin d’infecter les centrifugeuses situées en Iran ; cette attaque a également fait usage de clés USB pour répandre le virus dans les systèmes informatiques.

La fuite Wikileaks du nom de “Brutal Kangaroo” comporte une série de manuels qui proviendraient de l’unité Information Operations de la CIA. Un guide utilisateur daté de février 2016 a expliqué comment la suite Brutal Kangaroo incluait le logiciel malveillant “Drifting Deadline”, conçu pour infecter premièrement un ordinateur, puis n’importe quelle clé USB. Dès lors qu’une cible branchait ce support USB sur un ordinateur non-connecté, l’infection se répandait.

L’étape finale, utilisant le logiciel nommé Shadow, “créait un réseau caché et personnalisé à l’intérieur du réseau fermé de la cible,” ce à partir de quoi la CIA pouvait mettre en œuvre d’autres attaques et opérations de surveillance.

L’aspect le plus impressionnant de l’attaque réside peut-être dans la façon dont elle a exploité une vulnérabilité, laquelle était mise en œuvre dès qu’un utilisateur ouvrait les documents se trouvant sur la clé USB, dans Windows. Il n’était en fait pas même nécessaire d’ouvrir l’un des documents : les parcourir suffisait à déclencher l’infection, d’après les dires d’un chercheur indépendant se faisant appeler xorz. Cet aspect particulier de l’affaire Brutal Kangaroo est similaire à l’une des manières d’opérer de l’attaque Stuxnet. Elle était également mise en place par le biais de fichiers malicieux, portant l’extension “.lnk”. Les systèmes industriels et les groupes terroristes se servant d’ordinateurs déconnectés étaient probablement les cibles du logiciel malveillant de la CIA, explique xorz.

Microsoft et Wikileaks main dans la main ?

Curieusement, Microsoft vient de corriger une vulnérabilité qui affectait la gestion de des fichiers .lnk par Windows. Exploiter cette vulnérabilité ne nécessitait que le traitement de l’icône d’un raccourci spécifique par le PC cible. Cela semble identique à la façon de procéder de l’attaque menée par la CIA.

Le titan technologique a indiqué que cette faiblesse avait déjà été exploitée par le passé également. Mais il n’a donné aucun détail sur l’identité de la personne qui a répandu le bug, ce qui mène xorz et d’autres à déduire que Wikileaks a informé Microsoft sur l’affaire avant de publier les dossiers Brutal Kangaroo, et ce malgré quelques disputes avec des fournisseurs tech au sujet de la façon dont ils pourraient résoudre le problème.

Le chercheur indépendant xorz a supposé que l’exploit “Okabi” (un exploit étant un élément de programme permettant à un logiciel malveillant d’exploiter une faille), cité dans le guide utilisateur, était celui qui avait été réparé et que Wikileaks, plutôt que la CIA, était l’informateur de Microsoft. Un exploit de plus longue date, faisant partie de l’arsenal Brutal Kangaroo et nommé EZCheese, avait été modifié en 2015, avant d’être remplacé.

“Cette nouvelle fuite de Wikileaks confirme que [la vulnérabilité .lnk] est très probablement liée à la façon dont la CIA cible les ordinateurs non-connectés…Le lien est assez évident,” constate le cofondateur de Hacker House, Mathew Hickey.

“Nous sommes en train de travailler là-dessus et n’avons rien à déclarer pour le moment,” a déclaré le porte-parole de Microsoft.

Au moment de la publication, la CIA n’a pas répondu à une demande de commentaire. Elle n’a ni confirmé ni nié la légitimité des fichiers Wikileaks. En revanche, elle a critiqué les divulgations précédentes du groupe d’Assange, portant sur les attaques pirates de l’iPhone, de Mac et de Windows. “Le peuple américain devrait se sentir profondément concerné par toute divulgation de Wikileaks initiée dans le but d’affaiblir la capacité de la communauté de la surveillance à protéger l’Amérique des terroristes et d’autres menaces ,” a exprimé un porte-parole en Mars.

De telles attaques prenant pour cible des systèmes non-connectés sont connues depuis longtemps, bien que rarement repérées en dehors du cercle académique. L’année dernière, en avril, des chercheurs ont montré comment de subtils changements opérés sur l’intensité d’une ampoule intelligente pouvaient révéler des données à un observateur extérieur, alors qu’en février dernier une attaque a montré que la lumière provenant des ampoules LED transmettait des données d’une manière semblable, mais cette fois à un drone flottant à l’extérieur d’un bureau.