Vault 7 : WikiLeaks dévoile ExpressLane

0
45

Aujourd’hui, arrêt oblige sur la série Vault 7 de WikiLeaks consacrée à la divulgation des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre. L’actualité WikiLeaks le suggère et cette fois le contenu est au moins, sinon plus digne d’intérêt que dans le cadre des autres parutions. L’organisation fondée par Julian Assange vient en effet de dévoiler un outil supposément utilisé par la CIA pour espionner des services de liaison au rang desquels on compte : le FBI, le DHS et la NSA.

Les contenus publiés nous apprennent que la CIA dispose d’une branche spéciale (OTS) qui maintient une plateforme de collecte de données biométriques mise à la disposition des services de liaison à travers le monde. La plateforme serait destinée au partage « volontaire » de ces données biométriques entre la CIA et les services de liaison, ce qui n’a pas lieu. C’est là où intervient l’outil ExpressLane au centre des développements de ce jour.

« ExpressLane est un outil furtif de collecte d’informations utilisé par la CIA pour exfiltrer des données de ces systèmes mis à la disposition des services de liaison », explique WikiLeaks qui ajoute que « ExpressLane est installé et lancé sous le prétexte d’une mise à jour du logiciel de collecte de données biométriques par un agent de l’OTS en visite sur lesdits sites. Les agents de liaison témoins de la procédure n’y verront que du feu puisque l’exfiltration des données est masquée par un écran d’installation Windows. »

La procédure d’installation mène à la présence d’un exécutable dénommé MOBSLangSvc (l’exécutable d’ExpressLane) dans le répertoire \windows\system32. L’exfiltration des données se fait via la clé USB qui sert à l’installation (ou plus exactement, à la mise à jour). Cette dernière contient une partition spécialement préparée (par l’outil CreatePartition sur l’image ci-dessous) pour être détectée par ExpressLane dès son insertion sur la machine cible.

Les données exfiltrées sont sauvegardées dans la partition spéciale sous forme chiffrée et il faut qu’un agent de la CIA use d’un autre outil (Exit Ramp 3.0 sur l’image ci-dessous) pour les déchiffrer et les sauvegarder une fois de retour à la base.

Cette nouvelle publication de WikiLeaks vient rappeler un principe désormais important de l’univers de la cybersécurité, faire attention aux clés USB introduites par des tiers sur son système. Maintenant, comment se comporte un agent des services de liaison si la procédure ne prévoit pas une vérification du matériel détenu par l’agent de l’OTS ?

Quand bien même la procédure le prévoirait, dispose-t-il des bons outils pour savoir ce que la clé renferme comme charge malicieuse ? Des questions qu’on est en droit de se poser même s’il faut se rappeler qu’il s’agit de stratagèmes supposément mis en œuvre par la CIA
.
Source : WikiLeaks

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here

17 + onze =