Recevez chaque jour toute l'actualité du numérique

x

Le vol des outils de piratage de la CIA en 2017 était dû à une sécurité "terriblement laxiste"

Vu ailleurs Une meilleure sécurité aurait pu protéger les outils de piratage volés à la CIA en 2017, révèle un rapport interne fourni au Washington Post par le sénateur Ron Wyden. Le document conclut que le Center for Cyber Intelligence était plus soucieux de renforcer son "cyberarsenal" que de le sécuriser. Les procédures de sécurité y étaient "terriblement laxistes".
Twitter Facebook Linkedin Flipboard Email
×

Le vol des outils de piratage de la CIA en 2017 était dû à une sécurité terriblement laxiste
Le vol des outils de piratage de la CIA en 2017 était dû à une sécurité "terriblement laxiste" © CIA

Sans la divulgation de WikiLeaks en 2017, la CIA n'aurait sûrement jamais su que ses outils de piratage avaient été volés, révèle un rapport interne consulté par le Washington Post le 16 juin 2020. Le document a été fourni au média par le bureau du sénateur démocrate Ron Wyden, membre de la commission sénatoriale du renseignement, qui a réussi à obtenir une copie du rapport caviardé par le ministère de la Justice. Il a adressé une lettre au directeur national du renseignement John Ratcliffe dans laquelle il suggère que les faiblesses mises en évidence par le document interne dépassent la CIA.

La plus grosse fuite de données de la CIA

Le 7 mars 2017, WikiLeaks publie une série de 8000 pages web appelée "Vault 7", dans laquelle est décrit le programme de hacking de la CIA chapeauté par une unité spéciale, le Center for Cyber Intelligence (CCI). Sont répertoriés son arsenal de logiciels malveillants et ses dizaines de vulnérabilités zero-day (qui n'a fait l'objet d'aucune publication et n'a aucun correctif connu). Plus de 90 outils sur un total d'environ 500 sont rendus publics.

Wikileaks indique simplement à l'époque qu'elle "souhaite lancer un débat public sur la sécurité, la création, l’utilisation, la prolifération et le contrôle démocratique de cyberarmes" puisque ces outils ont soulevé des questions qui "ont urgemment besoin d’être débattues en public, notamment le fait que les capacités d’intrusion de la CIA dépassent son mandat et le problème de la supervision publique de l’agence". Finalement, l'agence de renseignement accuse un ancien ingénieur, Joshua Schulte, dont le procès est toujours en cours. Pour faire la lumière sur ce qui a été la plus grosse fuite de données de la CIA, un groupe de travail a été mandaté pour enquêter.

A travers le document interne, le groupe de travail dépeint une unité plus soucieuse de renforcer son "cyberarsenal" que de le sécuriser. Les procédures de sécurité y étaient "terriblement laxistes". "Si les données avaient été volées au profit d'un adversaire étatique et non publiées, nous pourrions encore ignorer cette perte", alerte même le groupe de travail. Il ajoute que "la plupart de nos cyberarmes sensibles n'étaient pas segmentées, les utilisateurs partageaient les mots de passe des administrateurs système, il n'y avait pas de contrôle efficace des supports amovibles type clé USB et les données historiques étaient disponibles indéfiniment". Cette brèche est intervenue près de trois ans que Edward Snowden ait volé et divulgué des informations classifiées sur les opérations de surveillance de la National Security Agency (NSA). "La CIA a agi trop lentement pour mettre en place les garanties que nous savions nécessaires étant donné les violations successives ", tranche le rapport.

Impossible de déterminer la taille de la brèche

Le groupe de travail n'a pas pu déterminer précisément la taille de la brèche parce que le CCI n'était pas obligé de surveiller son réseau. D'après des estimations, l'employé aurait pu voler au total jusqu'à 34 téraoctets d'informations, soit environ 2,2 milliards de pages. Il est sûr qu'au moins plus de 100 Go ont été dérobés. Timothy Barrett, le porte-parole de la CIA, a refusé de commenter le document. "La CIA s'efforce d'intégrer les meilleures technologies de sa catégorie pour garder une longueur d'avance et se défendre contre des menaces en constante évolution", a-t-il répondu.

Le rapport distingue "le système informatique d'entreprise" de la CIA, qui représente la grande majorité du réseau informatique de l'agence gouvernementale, et les "systèmes de missions" spécialisés dont celui qui hébergeait les outils de piratage. Un ancien responsable du renseignement, interrogé par le Washington Post sous couvert d'anonymat, raconte que "les systèmes de mission" suivaient la "référence absolue" pour la détection des menaces. Il a par ailleurs déclaré qu'il était d'accord avec la plupart des conclusions du rapport à l'exception de l'affirmation selon laquelle la CIA n'avait pas mis l'accent sur la sécurité informatique. "L'idée selon laquelle nous ne travaillons pas pour amener tous nos systèmes au plus haut niveau de cybersécurité est une fausse affirmation", assure-t-il. 

Le Congrès, trop laxiste sur la sécurité des agences de renseignement ?

En 2014, le Congrès américain a donné au Département de la sécurité intérieure le pouvoir d'exiger des agences fédérales qu'elles respectent les normes minimales de cybersécurité mais a exempté les agences d'espionnage, raconte le sénateur Ron Wyden. "Il est maintenant clair que le fait d'exempter la communauté du renseignement des exigences fédérales de base en matière de cybersécurité était une erreur", a-t-il écrit dans sa lettre adressée au directeur du renseignement national, John Ratcliffe.

A ce titre, certains analystes reprochent au Congrès de ne pas faire plus pour obliger les agences de renseignement à rendre compte de leurs manquements. La brèche de 2017 de l'agence d'évaluation du crédit Equifax a fait l'objet d'un examen beaucoup plus approfondi que celles de la NSA et de la CIA, a déclaré Thomas Rid, professeur de sécurité de l'information à l'École des hautes études internationales de l'Université Johns Hopkins. Il conclut que "les agences de renseignement les plus puissantes et les mieux financées de la planète sont incapables d'arrêter l'hémorragie de leurs propres données".

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.