7 leçons à tirer de la fuite de données Vault 7
La fuite de données Vault 7 survenue en début de mois s’avère colossale. C’est la plus importante depuis les révélations d’Edward Snowden, qui ont débuté en 2013. Peut-être cette nouvelle affaire surpasse-t-elle celle de Snowden.
Voici sept leçons à tirer de cette fuite. Ces dernières sont issues du travail de nos équipes F-Secure, et notamment de l’un de nos nouveaux collègues, Andrea Barisani – chercheur en sécurité reconnu dans le monde entier, fondateur d’Inverse Path, et aujourd’hui Head of Hardware Security chez F-Secure.
- 1. Ces fuites confirment les craintes des professionnels.
Avec Vault 7, Wikileaks a présenté « les aptitudes de la CIA au piratage », au travers d’environ 9 000 documents. Ces « aptitudes » concernant à la fois le piratage des smartphones, des ordinateurs et des télévisions connectées à internet. Wikileaks évoque des procédés capables de contourner la plupart des solutions antivirus, dont celles de F-Secure : cette affirmation a immédiatement fait l’objet d’investigations au sein de notre Laboratoire.
La méthode de Wikileaks consistant à publier directement en ligne la totalité des informations fuitées contraste avec la méthode Snowden, en lien avec des journalistes du Guardian, de l’Intercept et du Washington Post. Cette fuite a choqué de nombreux internautes, mais pour les professionnels de la sécurité du monde entier, elle n’a fait que confirmer des soupçons existants.
Tous les coups sont permis en matière d’espionnage, et cela n’a rien de nouveau.
- Vault 7 devrait toutefois servir de signal d’alarme pour le public.
Andrea Barisani affirme : « Ces révélations n’ont pas vraiment de quoi émouvoir le secteur de la cyber sécurité, mais plutôt le grand public, potentiellement surpris par ces attaques. »
Comme l’explique Mykko Hypponen : « Lorsqu’on dit d’un appareil qu’il est “intelligent” (ou connecté), il est vulnérable. »
Espérons que ces fuites d’informations aideront à une prise de conscience mondiale. Tout appareil connecté à internet peut être piraté, qu’il s’agisse d’une télévision ou d’un grille-pain. En témoigne cette page du site The Onion :
Le propriétaire d’une Smart TV Samsung découvre ses nombreuses fonctionnalités après la fuite des documents de la CIA
Les objets connectés ne sont souvent sécurisés qu’après une attaque, mais pour Andrea Barisani, « il est essentiel de les sécuriser dès leur conception. »
L’an dernier, des objets connectés non-sécurisés nous ont aidés à mettre en évidence la plus grosse attaque de tous les temps portant sur une infrastructure internet.
Si cette attaque n’avait pas suffi au monde pour prendre au sérieux la sécurisation des objets connectés, peut-être Vault 7 permettra enfin d’éveiller les consciences.
Comme l’explique Andrea Barisani : « Il faut agir maintenant, à défaut d’avoir agi hier. »
- La meilleure tactique de la sécurité opérationnelle (Opsec) : ne jamais être la cible d’une « agence à trois lettres ».
Les agences de renseignements du monde entier disposent de moyens considérables, qui s’évaluent en milliards de dollars. Une certitude : elles devraient investir de plus en plus dans le piratage, notamment après le rôle qu’a joué le piratage dans les élections américaines de 2016. Tout est possible, si vous avez suffisamment de moyens humains et financiers.
« La question n’est pas vraiment de savoir si la CIA peut déjouer nos solutions de sécurité. La réponse est systématiquement oui. », nous a expliqué Mikko Hypponen, CRO chez F-Secure. « Si elle est dans l’incapacité de le faire dès maintenant, elle investira un million de dollars supplémentaire pour trouver une faille. Les fonds consacrés à ces activités semblent inépuisables. L’ampleur de la campagne de piratage menée contre les prestataires de sécurité et fabricants informatiques mentionnés dans les documents Wikileaks en atteste. »
- Ces fuites présentent un danger.
À titre personnel, il est peu probable que vous soyez visé par la CIA. Toutefois, les vulnérabilités 0-day utilisées présentent désormais des risques pour les internautes du monde entier.
« Une fois ces failles révélées, elles peuvent servir à toutes sortes de groupes criminels », insiste Andrea Barisani. « Leur diffusion ne doit donc pas être prise à la légère. »
Mikko Hypponen trouve ironique – et inquiétant – que la CIA puisse participer à un tel jeu.
« Dans des pays comme les États-Unis, les agence de renseignements ont pour mission de garantir la sécurité des citoyens », nous a-t-il expliqué. « La fuite d’informations Vault 7 prouve que la CIA avait connaissance des vulnérabilités d’iPhone. Pourtant, au lieu d’en informer Apple, elle a décidé de garder cela secret. Cette fuite nous en dit donc un peu plus sur la manière dont la CIA a décidé d’utiliser ses connaissances : elle a considéré qu’il était plus important que ses citoyens restent dans une situation précaire, plutôt que de les protéger. Elle a préféré utiliser ces informations pour ses propres besoins ou à des fins anti-terroristes. »
- Les mises à jour sont importantes.
Ces fuites d’informations montrent combien il est important pour les nations démocratiques de superviser correctement leurs agences de renseignement.
Elles viennent également confirmer un truisme : les logiciels ne sont jamais parfaits. Des patchs doivent être apportés en permanence, pour corriger les vulnérabilités.
Apple et Google ont tous deux rapidement réagi aux fuites Vault 7. Les deux entreprises ont tenu à rassurer leurs clients, avec des mises à jour de sécurité corrigeant les vulnérabilités constatées. Les dernières versions d’iOS et d’Android offrent désormais de meilleures garanties de sécurité… mais pour être protégé, encore faut-il posséder un système d’exploitation à jour. Les données télémétriques de notr VPN FREEDOME indiquent que les utilisateurs d’iOS s’en sortent mieux sur ce plan que les inconditionnels d’Android. La plupart des propriétaires d’iPhone utilisent en effet la dernière version d’iOS,10.2. À l’inverse, seule une minorité des utilisateurs Android a fait la mise à jour vers la version 7 du système d’exploitation, pourtant lancée à l’été 2016.
« En bref : si vous êtes sous Android et que vous vous souciez de la sécurité de votre appareil, choisissez votre matériel informatique avec soin », indique Sean Sullivan, F-Secure Security Advisor. « Seuls quelques rares fournisseurs s’attachent actuellement à fournir les mises à jour de sécurité mensuelles de Google à leurs clients. »
- On vous l’avait dit, les portes dérobées n’existent pas chez nous.
Depuis des années, nous insistons sur le fait que nos solutions ne proposent aucune porte dérobée. Les agences de renseignement viennent de le prouver : pour accéder aux données de nos clients, elles doivent, de fait, forcer l’entrée. Nous sommes heureux de voir que la CIA a eu des difficultés à contourner nos protections.
- Il y aura évidemment d’autres fuites.
« Il n’est pas surprenant que la CIA utilise ces techniques de piratage. À l’inverse, la fuite dont elle vient d’être victime était, elle, inattendue, et colossale. » a affirmé Mikko Hypponen. « La question est donc de savoir qui a transmis ces informations à Wikileaks… Les Russes ? Un membre de la CIA ? Nous n’avons pas la réponse. Autre question : pourquoi ces informations ont-elles fuité maintenant ? »
Les réponses à ces questions pourraient aider à anticiper de prochaines fuites.
En attendant, un dernier conseil : partez du principe que, si vous êtes engagé en politique ou en affaires à l’échelle nationale ou internationale, vous êtes sans doute victime de piratage. Si les pirates ne s’intéressent pas à vous, vous pouvez presque le prendre comme une insulte.
Catégories