Le ministère de la Justice américaine a communiqué le rapport de l’enquête interne de la CIA sur la fuite Vault 7, révélée par Wikileaks en 2017. Il conclut que l’unité qui développait les outils de cyberattaque de l’agence ne prenait pas la défense de son système suffisamment au sérieux.

La sécurité informatique de la CIA était-elle en dessous des standards conseillés en 2017, lorsqu’une large partie de ses documents secrets-défense a été divulgué par Wikileaks ? C’est en tout cas ce que défend l’enquête interne, remise à la direction de l’agence 7 mois après la fuite. Les conclusions de ce document sont rendues publiques pour la première fois, après que le sénateur américain Ron Wyden a remis au Washington Post une version partielle et modifiée du rapport, qu’il a lui-même obtenu du ministère de la Justice.

Considéré par le pouvoir américain comme la plus grosse fuite de documents classifiés de l’histoire de la CIA, le leak nommé Vault 7 contenait des informations sur les outils offensifs développés par l’agence. Dans le lot se trouvaient notamment des moyens pour exploiter des vulnérabilités inconnues de logiciels et produits largement utilisés. Ils permettaient d’activer secrètement des caméras, d’enregistrer des conversations confidentielles ou encore de gagner l’accès à des systèmes protégés.

ebay-logo.jpg

La CIA se servait de son arsenal pour pirater toutes sortes d’objets connectés. // Source : Pxhere

Le rapport interne estime à plus de 34 téraoctets le volume de données exfiltrées. Mais il précise que Wikileaks n’a pas obtenu les versions définitives des cyberarmes de la CIA (et notamment leurs codes sources), qui étaient protégées dans un « dossier doré ». En conséquence immédiate de la révélation, la CIA avait dû stopper certaines manœuvres d’espionnage, et remiser temporairement son cyberarsenal.

L’élite des cyberattaquants ne se serait pas souciée de la défense

La fuite provenait du Center for Cyber Intelligence, une unité d’élite dont le système informatique et les bureaux sont séparés du reste de l’agence. Le rapport d’enquête interne conclut sévèrement que cette section a « priorisé la construction d’armes cyber aux dépens de la protection de leurs propres systèmes. » Le comité d’expert ajoute que les procédures de sécurité étaient « terriblement laxistes ». « La plupart des nos cyber armes sensibles ne sont pas compartimentées, les utilisateurs partagent des mots de passe d’administrateur, et l’historique des données est accessible aux utilisateurs sans limites de temps » liste le rapport. Concrètement, un employé de l’agence pouvait simplement récupérer un accès de haut niveau au système, sur lequel toutes les cyberarmes étaient réunies sans besoin d’autorisation supplémentaire.

En coup de grâce, le rapport conclut que sans les révélations de WikiLeaks, le vol de données n’aurait jamais été détecté, faute d’outil de détection, et que des adversaires de l’agence auraient pu les utiliser. Il faut dire que les documents ont été dérobés en 2016 près d’un an avant les premières révélations de Wikileaks, et qu’entre temps personne n’a détecté le casse. L’exploitation du cyberarsenal de la CIA par ces acteurs malveillants aurait pu avoir des conséquences désastreuses, dans un scénario similaire à la débâcle Wannacry.

La sécurité laxiste fait une excellente ligne de défense

Si l’autocritique de la CIA est si dure, c’est notamment parce que trois ans avant Vault 7, Edward Snowden divulguait des documents confidentiels d’une autre agence du renseignement américain, la NSA. Cette fuite avait alors poussé les agences à renforcer leurs protocoles de sécurité. Six mois avant la fuite, la CIA avait revu à la hausse son système de protection. Mais ces précautions supplémentaires n’ont pas suffi à éviter un second tremblement de terre dans le renseignement américain.

En tous cas, le rapport s’avère être une aubaine pour Joshua Schulte, l’ancien employé du Center for Cyber Intelligence accusé d’être à l’origine de la fuite. Il plaide non-coupable, et ses avocats s’appuient sur une ligne de défense évidente : la sécurité du système était si désastreuse que n’importe lequel des employés, parmi plusieurs centaines, a pu mettre la main sur les informations. Le jugement de Schulte est encore en suspend, après un premier passage au tribunal en mars.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !