WikiLeaks vient de faire d’une pierre deux coups avec la publication des manuels de deux malwares par le biais de la même annonce. Comme dans le cas du précédent de la série – le malware OutlawCountry – nous avons encore affaire à des implants, c’est-à-dire à des logiciels malveillants que l’agence introduit dans les systèmes de ses cibles en tirant parti d’exploit dont elle seule a le secret.Gyrfalcon, le plus ancien des deux malwares, est un ensemble de scripts Python conçus pour compromettre l’espace d’adressage réservé au client Linux OpenSSH sur les distributions Red Hat, Ubuntu, Suse, Debian et CentOS. Il aurait servi à des agents de la CIA pour intercepter, de façon furtive, le trafic SSH des postes ciblés.
Comme les logiciels malveillants OutlawCountry et ELSA, il est prévu que les données exfiltrées soient sauvegardées sur la machine cible dans des fichiers chiffrés et récupérées lors d’une session de travail dédiée à cet effet par un agent.
Identifiants, mots de passe et autres données sensibles ont ainsi pu tomber aux mains de l’agence depuis 2013 si l’on s’en tient à la date apparaissant sur la documentation liée.
BothanSpy pour sa part repose sur des bibliothèques de liaison dynamique et des scripts Python pour compromettre les sessions du client SSH Windows Xshell.
La particularité avec ce dernier est que l’exfiltration des données peut se faire sans écriture sur un disque de la machine cible, ce qui, logiquement, est la configuration à adopter par un agent qui veut espionner sans laisser de traces. Ce dernier aurait été utilisé par l’agence depuis 2015.
Ces révélations de WikiLeaks viennent démontrer chaque fois un peu plus à quel point les systèmes sur lesquels des personnes physiques et morales se reposent tant sont vulnérables.
Le plus inquiétant est que, si l’on se réfère aux dates sur les documents publiés, la CIA disposerait d’une expertise avérée pour contourner les mécanismes de « sécurité dès la conception » en principe plus renforcés sur Linux en comparaison à Windows.
Avec de récentes statistiques qui montrent qu’il y a une augmentation importante du nombre de logiciels malveillants développés contre les systèmes tournant sous Linux, nul doute que le futur s’annonce riche en révélations supplémentaires.
Sources : Gyrfalcon (PDF), BothanSpy (PDF)
Et vous ?
Que pensez-vous de ces nouvelles révélations de WikiLeaks ?Voir aussi :
Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées 
Envoyé par Anthony
)