Wikileaks : "Dark Matter", où comment la CIA a infecté des firmwares d'Apple

Publication: Mis à jour:
DR
DR
Imprimer

Dans sa deuxième livraison des révélations « Vault 7 » sur les activités de piratage informatique de la CIA, Wikileaks a publié, le 23 mars, "Dark Matter" révélant une douzaine de nouveaux documents sur des projets de l’agence centrale de renseignement américaine d’infecter des firmwares des MacBook et de l’iPhone d’Apple.

Les activités de piratage informatique de la CIA dépassent de loin le développement et la dissémination de logiciels malveillants pour espionner des ordinateurs et des terminaux mobiles de toutes plateformes.

Selon les dernières révélations de l’organisation Wikileaks, la CIA a mené des projets d’infection des firmwares (logiciels internes) des ordinateurs portables MacBook et de l’iPhone d’Apple. Un communiqué de Wikileaks explique que l’infection du firmware, "développée par la Direction du développement intégré (Embedded Development Branch - EDB)" de la CIA, signifie que "l'infection persiste même si le système d'exploitation est réinstallé".

Les douze documents, publiés par l’organisation de Julian Assange, expliquent les "techniques utilisées par la CIA" pour avoir accès à des périphériques d’Apple, et démontrent "l’utilisation de logiciels EFI/UEFI (Unified Extensible Firmware Interface) et de microprogrammes (firmwares) malveillants".

Le document appelé projet "Sonic Screwdriver" (2012) est un " mécanisme permettant d'exécuter du code sur des périphériques pendant qu'un ordinateur portable Mac ou un ordinateur de bureau démarre" même lorsque un mot de passe est exigé par le firmware d’Apple, explique la CIA dans ce document. "Normalement, un mot de passe du Firmware d’Apple empêche les modifications du chemin d'amorçage. Le mécanisme "SonicScrewdriver" pour exécuter le code permettra à un utilisateur de démarrer via une clé USB, un DVD/CD ou un disque dur externe, même si un mot de passe du microprogramme est activé", ajoute le "Guide d’utilisateur" élaboré en 2012 par la CIA. Dans ce "guide", l’Agence explique le code de "SonicScrewdriver" "est stocké sur le firmware d'un adaptateur Thunderbolt-to-Ethernet" d’Apple. "Le code de l'implant va scanner tous les périphériques internes et externes avec un nom de volume spécifique. Cela comprend les clés USB, les CD/DVD et les disques durs. Si le nom de volume spécifique est trouvé, il exécutera un démarrage UEFI de ce périphérique", ajoute le document de la Centrale de renseignement américaine.

Selon Wikileaks, "DarkSeaSkies" (2009) est un implant qui persiste dans le firmware EFI d'un ordinateur MacBook Air, et se compose des implants "DarkMatter", "SeaPea" et "NightSkies", respectivement EFI, kernel-space et user-space".

La Supply Chain de l’iPhone court-circuitée
?

Le "Guide d’utilisateur" élaboré par la CIA pour le programme "SonicScrewdriver" note que tous les ordinateurs Apple disposant d’un port Thunderbolt (une technologie pour connecter des périphériques développée par Intel en collaboration avec Apple), sont des "ordinateurs cible". Il est également précisé que l’infection du firmware a été testée sur des "MacBook Air (11 et 13 pouces) construits entre 2011 et 2012", des MacBook Pro Retina éditions 2012 (13 et 15 pouces) , et des MacBook Pro (13 et 15 pouces) produits en 2011. Le document donne tous les détails et les étapes de la procédure d’infection des firmwares de ces ordinateurs d’Apple.

Quant au guide d’utilisation sur les logiciels malveillants "Trito" pour Mac OS X, son infuseur "Dark Mallet" et sa version persistante EFI "DerStarke", la CIA affirme cibler les versions 10.7 (Lion) et 10.8 (Mountain Lion) du système d’exploitation d’Apple. Si le document DerStarke1.4 a été publié en 2013, "d'autres documents Vault 7 montrent que jusqu’en 2016, la CIA continuait de s'appuyer sur ces systèmes et de les mettre à jour et travaille à la production de DerStarke2.0", rappelle Wikileaks.

Quant à "NightSkies 1.2" de la CIA (élaboré en 2008), il s’agit d’un « outil de balise/chargeur/implantation pour l’iPhone 3G v2.1 d’Apple", explique le document de la CIA. "L'outil fonctionne en arrière-plan fournissant des capacités de téléchargement, d'upload et d'exécution sur le périphérique. Il est installé via un accès physique à l'appareil et attendra l'activité de l'utilisateur avant le balisage. Lorsque l'activité de l'utilisateur est détectée, il tentera d'interroger un LP (Listening Post – Poste d’écoute) préconfiguré pour récupérer les tâches, exécuter les instructions et réagir avec les réponses en une seule session", explique encore le document de la CIA.

Le communiqué de Wikileaks, révélant les documents relatifs aux actions de la CIA pour espionner et infecter les produits d’Apple, note que le projet "NightSkies" lancé en 2008 "est expressément conçu pour être physiquement installé sur les iPhones sortis d'usine. C’est à dire que la CIA a infecté la chaîne d'approvisionnement de l’iPhone depuis au moins 2008".

Réagissant à la publication des récents documents par Wikileaks, Apple affirme, via le site Tech Crunch, avoir résolu les vulnérabilités "depuis plusieurs années". La firme de Cupertino précise que les vulnérabilités de l'iPhone "n'a affecté que l'iPhone 3G et a été corrigée en 2009 lorsque l'iPhone 3GS a été publié". Quant aux vulnérabilités des ordinateurs Mac, elles ont été "corrigées dans tous les Mac lancés après 2013", affirme encore Apple.

Retrouvez les articles de HuffPost Algérie sur notre page Facebook.

Pour suivre les dernières actualités en direct, cliquez ici.