La CIA dispose d’un outil lui permettant de s’infiltrer, en toute discrétion, dans les réseaux informatiques d’entreprises ou d’organisations pour ensuite y infecter les ordinateurs, révèlent des documents publiés par WikiLeaks, que Mediapart et La Repubblica ont pu consulter.

L’outil en question n’est pas nouveau. Parmi les documents publiés vendredi 5 mai, figure notamment un guide d’utilisateur datant de 2011, alors que celui-ci était appelé Fulcrum. Un an plus tard, à l’occasion d’une importante mise à jour et de la publication d’un nouveau guide, il a été rebaptisé Archimedes.

Cette solution, développée par les ingénieurs de la CIA, a été spécialement conçue pour s’attaquer aux LAN (Local Area Network), les réseaux locaux très utilisés par les entreprises et reliant un nombre limité d’ordinateurs. Ceux-ci y communiquent entre eux sans utiliser d’accès à Internet, ce qui permet notamment de limiter les risques d’attaques informatiques.

Archimedes permet de contourner cette protection et même de la tourner à son avantage en utilisant une série d’attaques connues, mais ici automatisées par les ingénieurs de la CIA. L’agence doit déterminer au sein du réseau visé une machine qui sera la cible d’Archimedes. Celui-ci mène dans un premier temps une attaque informatique dite « ARP spoofing », « usurpation d’ARP » en français, qui permet de détourner le trafic internet de la machine cible.

L’« ARP », pour protocole de résolution d’adresse, est un protocole qui permet, pour le dire simplement, à votre machine de communiquer avec le réseau. Votre machine dispose d’une adresse, dite adresse MAC, tandis que le réseau dispose d’une autre adresse, l’adresse IP. L’ARP permet à ces deux adresses de communiquer. Archimedes va s’interposer au milieu de ces deux couches de communication pour se faire passer, auprès de la machine, pour le réseau.

Une fois l’« ARP spoofing » réalisé, Archimedes va détourner le trafic de la machine pour le faire passer vers un serveur contrôlé par la CIA, appelé « pivot », qui lui-même le renverra vers la porte de sortie du réseau local. Pour la victime, l’opération est totalement transparente. À aucun moment son ordinateur n’a été infecté par un virus et sa navigation sur le réseau se fait de manière totalement normale. À aucun moment elle ne peut se douter qu’en réalité, toutes ses informations transitent déjà par le serveur de la CIA, comme le montre le schéma inséré dans le guide d'utilisateur.

 

Le "ARP spoofing" réalisé par Archimedes © WL Le "ARP spoofing" réalisé par Archimedes © WL
 
 

Mais il ne s’agit là que de la première étape. Une fois le trafic détourné, l’attaquant se retrouve donc entre l’ordinateur et le réseau. Une position idéale pour lancer le type d’attaque le plus classique qui soit en informatique : l’attaque dite de « l’homme du milieu ». Se retrouver entre deux personnes qui communiquent est en effet la façon la plus certaine d’intercepter des informations.

Pour cela, Archimedes va commencer par surveiller le trafic de la victime pour y repérer des sites internet qu’elle visite régulièrement et facilement falsifiables. Une fois cette phase de repérage finie, la CIA va monter un faux site copiant l’original. Quand la victime tentera d’accéder au site en question, Archimedes intercalera sa copie, piégeant ainsi la cible. De là, la fausse page permet soit de récupérer des informations, des identifiants, ou de lancer toute une série d’attaques visant à infecter l’ordinateur. L’une d’entre elles, évoquée par le guide d’utilisateur, consiste à insérer dans la page internet une « balise cachée », c’est-à-dire un élément du code html composant la page invisible, contenant un virus.

 

Archimedes n’est certes pas un outil infaillible. Il nécessite notamment que l’ordinateur cible soit connecté au réseau via un câble Éthernet. Mais il peut s’avérer redoutable. En effet, le détournement du trafic ne nécessite aucune attaque directe contre l’ordinateur cible. Peu importe son niveau de protection ou les compétences en sécurité informatique de son utilisateur, qui doit entièrement compter sur les capacités du réseau local de son entreprises ou de son organisation. De plus, une fois l’ordinateur infecté, la CIA dispose d’un point d’entrée lui permettant de se propager à l’intérieur du réseau en toute discrétion.

WikiLeaks diffuse six documents relatifs à Archimedes et Fulcrum, dont plusieurs guides d’utilisateur. Cette publication s’inscrit dans la série Vault 7 de WikiLeaks, consacrée aux attaques informatiques ciblées de la CIA. Au début du mois de mars, l'organisation avait annoncé avoir récupéré 8 761 documents et fichiers détaillant les outils d'espionnage numérique de l'agence. Depuis, chaque semaine, WikiLeaks détaille l'un d'entre eux.

 

SOURCE/ MEDIAPART