Rechercher sur ce blogue

Aucun message portant le libellé Edward Snowden. Afficher tous les messages
Aucun message portant le libellé Edward Snowden. Afficher tous les messages

dimanche 27 novembre 2022

Avant Edward Snowden,il y a eut Thomas Drake

 Avant Edward Snowden,il y a eut Thomas Drake

 

Thomas Drake, un lanceur d'alerte autrefois cadre de la NSA, n'est pas étonné d'apprendre que le Canada accède aux demandes de l'agence américaine. « Ça a été le cas pendant des années. »

M. Drake affirme avoir lui-même collaboré avec le CSTC alors qu'il travaillait pour la NSA et est lui aussi d'avis que les agents canadiens sont « d'une compétence extraordinaire ».

Pour M. Drake, « ces opérations secrètes de surveillance vont si loin qu'« il y a un danger clair et irréfutable qui menace la démocratie au Canada ».

 

Thomas Andrews Drake est un lanceur d'alerte américain, né le en Louisiane. Vétéran décoré de l'US Navy, ce cadre supérieur de la National Security Agency (NSA) dénonce la corruption et la gestion déficiente du Trailblazer Project, ce qui lui vaut d'être accusé par le gouvernement fédéral américain d'avoir attenté à la sécurité nationale selon les termes de l'Espionage Act of 1917. Bien qu’encourant 35 ans de prison, il est finalement condamné pour un délit mineur, mais perd son emploi à la NSA.

Biographie

Le père de Thomas Drake est un vétéran de la Seconde Guerre mondiale, alors que sa mère a été l'une des secrétaires de l'écrivain Pearl Buck. Thomas entre dans l'US Air Force en 1979, où il devient un spécialiste de l'écoute électronique embarquée (Airborne Voice Processing), du fait de sa maîtrise de l'allemand. Il participe également à des missions de surveillance électronique (ELINT)4. C'est dans le cadre de ces missions qu'il est amené à observer les télécommunications de la RDA, État qu'il compare aux États-Unis des années 2000-2010 à cause de plusieurs décisions touchant la vie privée des citoyens américains depuis les attentats du 11 septembre 20015. Il quitte l'Air Force en 1989. Il a aussi travaillé pour l'US Navy, où il est chargé d'analyser des informations pour le compte du National Military Joint Intelligence Center6. Selon The Washington Post, il aurait aussi travaillé pour la CIA7. En 1989, en tant que contractuel pour la NSA, il analyse des logiciels8,7,9. Pour les programmes JACKPOT et LIBRARIAN, il mène des tests de qualité sur les logiciels utilisés. En parallèle, il poursuit des études universitaires10,11.

En 2000, une société travaillant dans l'informatique l'embauche comme spécialiste en qualité logicielle et consultant en TIC12,13. À la fin de 2001, la NSA l'embauche à temps plein et l'assigne au Signals Intelligence Directorate à Fort Meade au Maryland. Il commence à travailler le , le jour des attentats sur le sol américain14,15,16. En 2002, il est nommé directeur d'une section logicielle qui fait partie du Cryptologic Systems and Professional Health Office. En 2003, il est nommé manager du Directorate of Engineering de la NSA. Il détient alors une habilitation Top Secret14. Pendant l'enquête du Congrès américain sur les attentats du , il témoigne des manquements de la NSA7. En 2006, il est assigné à la National Defense University (NDU)7, où il est nommé à la chaire NSA et professeur adjoint en sciences du comportement de l'Industrial College of the Armed Forces (ICAF)14, l'un des colleges de la NDU. Drake est obligé de démissionner de la NDU lorsque son habilitation est suspendue en 2007 ; il démissionne de la NSA l'année suivante17,14,18. Il est ensuite embauché par l'université Strayer mais il est obligé de quitter en 2010 lorsqu'il fait l'objet d'une poursuite judiciaire du gouvernement américain18.

En , le gouvernement américain accuse Drake de négligence dans la manipulation de documents classés secrets. C'est l'un des rares employés du gouvernement américain à être accusé selon les termes de l'Espionage Act of 1917. Les défendeurs de Drake avancent plutôt qu'il a été persécuté pour avoir dénoncé la corruption et la gestion déficiente du Trailblazer Project8,17,19,20,14,21. Ensuite, il trouve un emploi dans un magasin de la société Apple7,18. Il fonde à cette époque la société de consultants Knowpari Systems22.

Le , l'ensemble des 10 charges à son encontre sont abandonnées. Auparavant, Drake avait rejeté plusieurs propositions de peines parce qu'il refusait une « négociation de plaidoyer avec la vérité »trad 1. Il a plus tard plaidé coupable pour le seul délit d'avoir excédé l'autorisation d'utiliser un ordinateur23. Jesselyn Radack, qui l'a défendu, a qualifié ce geste de « désobéissance civile »24.

En 2011, il reçoit le prix Ridenhour de la vérité2 et est co-récipiendaire du Sam Adams Award for Integrity in Intelligence (SAAII). Lorsqu'il reçoit le SAAII, il dit (rappelant le discours de 1857 prononcé par Frederick Douglass, ancien esclave devenu éditeur) :

« Le pouvoir et ceux qui contrôlent ne concèdent rien […] sans une demande. Ils ne l'ont jamais fait et ne le feront jamais. […] Chacun d'entre nous doit continuer à exiger, à se battre, à tonner, à labourer, à lutter, à s'exprimer et à parler jusqu'à ce que justice soit faite, car là où il n'y a pas de justice, il ne peut y avoir de paixtrad 2,5. »

Dénonciation du Trailblazer Project et réponse du gouvernement

Dans les murs de la NSA


À la fin des années 1990 et au début des années 2000, la NSA souhaite de nouveaux outils pour recueillir des informations des systèmes de communications numériques, comme Internet. Drake participe aux débats de la NSA sur deux outils : le Trailblazer Project et le ThinThread project21,18. Il fait partie d'un groupe, minoritaire, qui préfère le ThinThread project18 parce que, en théorie, il protège le vie privée des citoyens américains même s'il recueille des informations utiles7. Le Trailblazer Project exige des milliards de dollars pour sa mise au point, dépassant de beaucoup les coûts du ThinThread project. À l'usure, Drake « a perdu ses illusions, [tout en] s'indignant »trad 3 des problèmes qu'il observe à l'agence7. Vers l'année 2000, le grand patron de la NSA, le général Michael Hayden, préfère Trailblazer, annulant dans la foulée ThinThread. Le programme Trailblazer prend de l'ampleur, faisant appel aux services d'IBM, SAIC, Boeing, CSC et d'autres sociétés américaines25.

Drake utilise les moyens légaux prescrits pour les employés fédéraux qui croient que des activités illégales se déroulent dans leur département18. Selon les termes des lois accordant protection aux lanceurs d'alerte, telle que l’Intelligence Community Whistleblower Protection Act, Drake se plaint en interne auprès des autorités désignées : à ses supérieurs, à l'Inspector General de la NSA (IG de la NSA), à l'Inspector General du département de la Défense (IG du DoD) et aux deux comités du Congrès des États-Unis chargés de la surveillance des agences de renseignements26. Il échange aussi régulièrement avec Diane Roark (les deux se sont rencontrés la première fois en 20007), salariée du parti républicain auprès de l'United States House Permanent Select Committee on Intelligence18 (dont la tâche principale est de surveiller les activités des agences de renseignement américaines qui font officiellement partie de la communauté du renseignement des États-Unis27). Roark est l'« expert du personnel » pour le budget de la NSA21.

En , Roark et trois anciens cadres de la NSA, William Binney, J. Kirk Wiebe28 et Ed Loomis29, remplissent un rapport à l'intention de l'IG du DoD dénonçant des problèmes à la NSA, notamment le Trailblazer Project7. Drake est la source majeure des informations du rapport (il a d'ailleurs renseigné le DoD pendant l'enquête de ce dernier sur ces problèmes)7. Roark tente d'informer Porter Goss, alors président de l'United States House Permanent Select Committee on Intelligence20. Elle tente d'échanger avec William Rehnquist, le juge en chef des États-Unis7. Également, elle tente d'approcher David Addington, son ancien collègue républicain dans les années 1980 puis conseiller judiciaire du vice-président Dick Cheney à cette époque16. Un article du Washington Post révèle plus tard qu'Addington a rédigé, sur un appareil à l'épreuve de TEMPEST, des documents de nature technique et légale pour encadrer un programme illégal de surveillance de masse autorisé pendant l'ère de George W. Bush30,31,32. Aucun des trois hommes n'a répondu à ses requêtes.

En 2003, l'IG de la NSA7 déclare que le Trailblazer Project est un échec coûteux33. Ses coûts excèdent à ce moment plus de 1 milliard de dollars21,26,34,35. En 2004, l'IG du DoD produit un rapport final sur les enquêtes lancées à la suite des accusations de Roark et d'autres personnes. Pour l'essentiel, le rapport rapporte les mêmes problèmes. Le rapport mentionne que la NSA a été interdite pendant une certaine période de mettre en branle des projets excédant un certain montant de crainte que ce ne soit de l'argent perdu. Au moment de la production du rapport, le DoD n'envisage pas de le rendre public29.

Dans un article du New Yorker paru en 2011, la journaliste Jane Mayer écrit que Drake pensait que la NSA était plus criminelle que l'ancien président américain Richard Nixon. Drake a parcouru les lois sur la divulgation d'informations et a conclu que s'il révélait à un journaliste des informations unclassifiednote 1, le pire qu'il aurait à subir serait d'être renvoyé16.

En , Drake contacte Siobhan Gorman du journal The Baltimore Sun, lui envoyant des courriels sur Hushmail et échangeant sur plusieurs sujets21,18. Il déclare qu'il a pris beaucoup de précautions pour ne pas révéler des informations sensibles ou classifiées (c'est l'une des règles de base qu'il s'est donnée avant d'échanger avec la journaliste). Ces échanges se déroulent en 2005 et 200636. Gorman écrit alors plusieurs articles sur les pertes, fraudes et abus de la NSA, mentionnant aussi le Trailblazer Project. Elle reçoit par la suite un prix de la Society of Professional Journalists pour une série d'articles démontrant les méfaits du gouvernement américain21. Le juge Richard Bennett, de la cour fédérale de district du Maryland, écrit plus tard « qu'il n'y a aucune preuve que le Journaliste A a rédigé des articles en s'appuyant sur des informations prétendument classifiées découvertes dans la maison de M. Drake »trad 4,37.

En , des agents armés du FBI font des descentes dans les résidences de Roark, Binney et Wiebe, qui se sont plaints en 2002 auprès de l'IG du DoD29. Binney déclare par la suite que des agents ont menacé d'une arme sa femme et lui-même. Ça lui a rappelé l'Union soviétique16. Aucun des trois n'a été accusé. En , des agents du FBI font une descente dans la maison de Drake. Ses ordinateurs, des documents et des livres ont été saisis. Il n'a jamais été accusé d'avoir transmis des informations sensibles à qui que ce soit ; il a été accusé d'avoir « retenu »trad 5 des informationsnote 2,15. Le FBI demande à Roark de témoigner contre Drake, mais elle refuse16. Le FBI n'a jamais contacté la journaliste Gorman7,18.

Dans un premier temps, Drake collabore à l'enquête, déclarant au FBI les prétendues activités illégales de la NSA16. Le procureur Steven Tyrrell rédige entretemps une « ébauche de mise en accusation »trad 6 contre Drake. Elle comprend entre autres l'accusation « d'avoir révélé des informations classifiées à un journaliste dans le but de conspirer »trad 7. Roark, Binney, Wiebe et Loomis (l'un des plaignants auprès de l'IG du DoD en 2002) auraient également été listés comme « co-conspirateurs non-accusés »trad 8,29. En 2009, le procureur William Welch II se penche sur le dossier7,16 et modifie la mise en accusation. Des accusations ont été supprimées ainsi que le nom des co-conspirateurs. Les accusations restantes ne visent plus que Drake29.

Les procureurs veulent que Drake plaide coupable mais il refuse car il se croit innocent des accusations7. Le gouvernement recherche sa collaboration dans les accusations contre les autres lanceurs d'alerte, ce qu'il refuse également16. Il s'explique lorsqu'il reçoit le prix Ridenhour de la vérité en 2011 :

« J'ai fait ce que j'ai fait parce que je crois sincèrement que mon devoir est envers le peuple américain […] Je savais que nous ne devions pas espionner les Américains et que nous devons rendre des comptes lorsque nous dépensons l'argent des contribuables américainstrad 9,2. »

Accusations

En , Drake est accusé par un grand jury de Baltimore, au Maryland, de8,17,19,14 :

L'inculpation comprend plusieurs autres allégations ; la plupart ne sont pas directement liées aux accusations contre lui. Le document ne l'accuse pas explicitement d'avoir révélé, sans autorisation, des informations classifiées ; il n'a pas aussi été accusé en vertu de la clause 18 U.S.C. § 798 du U. S. Code (qui porte sur le SIGINT)38. L'inculpation détaille ses échanges avec Roark et Gorman, mais ne l'accuse pas explicitement pour ces communications14. Les noms de Gorman et Roark n'apparaissent pas dans le document, mais des journalistes ont confirmé ces noms8,21. L'avocat de Roark a soutenu que l'inculpation comprend une « caractérisation erronée des faits » sur la relation de Roark et Drake21. Plus tard, Roark plaidera en faveur de Drake et des autres lanceurs d'alerte du Trailblazer Project16.

Les accusations de « rétention volontaire » portaient sur cinq documents découverts dans la résidence de Drake et prétendûment « liés à la défense nationale »trad 13. Les cinq documents étaient respectivement appelés : « What a Success »39, « The Regular Meetings », « Volume is our Friend », « Trial and Testing » et « Collections Sites »40. What a Success sera déclassifié quelques mois après que Drake soit inculpé. Selon une plainte officielle déposée par J. William Leonard, ancien directeur de l'Information Security Oversight Office, il n'aurait jamais dû être classifié41. Regular Meetings était marqué « UNCLASSIFIED » et publié sur NSANet (un intranet de la NSA), mais la poursuite a argué que le défendeur aurait dû savoir que le document était classifié. Plus tard, la défense de Drake a argué que les trois derniers documents se trouvaient parmi des milliers de documents qui n'étaient pas classifiés et son avocat a plaidé que Drake avait apporté de façon accidentelle, et non pas volontaire, les cinq documents à la maison42.

L'accusation d'obstruction visait la suppression alléguée de documents par Drake alors qu'il savait que le FBI enquêtait sur des fuites dans les médias et que le FBI envisageait de rechercher les sources du journaliste Siobhan Gorman14. L'accusation de fausse déclaration était incluse parce que Drake avait dans un premier temps répondu aux questions du FBI sans la présence de son avocat. Selon l'une des fausses déclarations, il aurait emporté chez lui certains documents. Une autre fausse déclaration avançait qu'il aurait volontairement omis de dire qu'il avait transmis des documents classifiés à Gorman19,16. La défense de Drake a souligné que même l'expert du gouvernement a déclaré que Drake n'avait pas détruit quelque preuve que ce soit. Elle a aussi précisé que Drake agissait prudemment et n'a jamais transmis d'information classifiée à Gorman ; plusieurs des documents en question ont été « rétroactivement classifiés »trad 14 une fois que le FBI les a saisis chez lui16,43.

Les bureaux fédéraux qui participent à la mise en accusation sont la Public Integrity Section du DoJ, la Criminal Division du DoJ, la National Security Division du DoJ, le FBI et l'Office of Security & Counterintelligence de la NSA19. Drake est représenté par James Wyda et Deborah Boardman, deux public defenders (des avocats assignés par le gouvernement fédéral lorsqu'une personne ne peut couvrir les frais juridiques)20,44. Drake, en tant que client du Government Accountability Project (GAP), un organisme de défense des lanceurs d'alerte, est conseillé par Jesselyn Radack. L'écrivain James Bamford, spécialiste de la NSA, agit à titre de consultant auprès des défendeurs45,46.

Le procureur du gouvernement, William Welch II, accusé d'outrage au tribunal et démis de ses fonctions lors du procès du sénateur Ted Stevens (qui est accusé de corruption ; le procès est arrêté pour vice de procédure47), sert dans un premier temps de conseiller senior en litiges (Senior Litigation Counsel)48,49. John P. Pearson, de la Public Integrity Section du DoJ, officie en tant qu'avocat de procès (Trial Attorney) du gouvernement, alors que Lanny A. Breuer est chargé de la supervision de la poursuite16. Le juge fédéral Richard D. Bennett supervise les audiences et est responsable du dossier. Il fixe le procès à 50,51.

La poursuite judiciaire contre Drake a été couverte par The Washington Post, The New York Times, Agence France-Presse, Newsweek, Wired, The Washingtonian.com, Secrecy News de la Federation of American Scientists, Politico et d'autres périodiquesnote 3. Jesselyn Radack, en tant que représentante du GAP, a aussi présenté des aspects de cette affaire52.

Le gouvernement fédéral américain a déclaré que la poursuite contre Thomas Drake ne visait pas à interdire aux fonctionnaires de rapporter des problèmes. Un porte-parole du DoJ a déclaré : « Les lanceurs d'alerte sont essentiels dans de nombreuses, nombreuses enquêtes des départements. Nous n'usons pas de représailles contre eux, nous les soutenons. […] Cette poursuite a été lancée sur le fond, et rien d'autretrad 15,53. »

Poursuite judiciaire

Au printemps 2011, des observateurs rapportent que les représentants du gouvernement ont agi pour restreindre l'accès public au procès, lequel est habituellement autorisé aux États-Unis. Ils ont agi selon les termes de la Classified Information Procedures Act (CIPA) qui vise à réduire la diffusion d'informations classifiées pendant les procès publics. Les procureurs ont aussi demandé l'application de la règle du témoin silencieux (les témoins doivent substituer certains termes par d'autres lorsqu'il s'agit de sujets sensibles). Le gouvernement fédéral américain n'utilise qu'occasionnellement cette règle ; sa légalité a été contestée en regard des cinquième et sixième amendements de la Constitution des États-Unis54. Le gouvernement a aussi déposé une pétition pour restreindre les contre-interrogatoires des témoins55 dans le but d'empêcher les jurés de parcourir les articles du journaliste Siobhan Gorman, parus dans le journal Baltimore Sun, sur la NSA et le Trailblazer Project56 et dans le but d'empêcher la défense d'argumenter ou d'introduire des preuves sur la dénonciation par les lanceurs d'alerte et sur l'excès de classification57. Par ailleurs, la poursuite a transmis à la cour des pièces à conviction sous scellés, pièces que la défense avaient déjà déposées51,58. La poursuite a argué que la CIPA s'appliquait aussi aux documents qui n'étaient pas classifiés et a demandé à la cour de n'utiliser que des documents caviardés59.

Selon le gouvernement fédéral américain, les articles du journaliste Siobhan Gorman parus dans le journal The Baltimore Sun portaient préjudice. « Le seul objectif de l'admission de ces articles de journaux était d'amener la NSA en courtrad 16. » Les procureurs ont aussi déclaré que la poursuite n'avait aucune obligation légale, selon l'Espionage Act of 1917note 2, de démontrer que l'intention de Drake était d'attenter à la sécurité nationale. En ce qui a trait à l'excès de classification invoquée par la défense, le gouvernement a répliqué que cette revendication rendrait confus le jury et n'était donc pas pertinente en ce qui concerne les accusations60. Le gouvernement a aussi argué que n'importe quel débat lors du procès sur la définition du concept légal de l'action d'alerter ne serait probablement qu'un échange sans intérêt vis-à-vis les accusations.

Au début juillet, peu de temps après la diffusion d'un épisode de 60 Minutes — le 22 mai 2011 — sur Thomas Drake, le gouvernement abandonne toutes les charges contre Drake et renonce à demander une peine de prison en contre-partie d'un aveu de culpabilité pour abus d'utilisation des systèmes informatiques de la NSA, crime couvert par la Computer Fraud and Abuse Act.

Drake est condamné à un an de probation et du travail communautaire61. Lorsqu'il prononce la sentence, le juge Richard D. Bennett déclare que le gouvernement a été « déraisonnable »trad 17 d'accuser une personne de crimes graves pouvant lui valoir 35 ans de prison, car la poursuite a abandonné toutes les charges importantes à la veille du procès61. Le juge a aussi rejeté la demande d'une grosse amende, faisant observer que Drake est financièrement dévasté à la suite du montant à verser aux avocats (82 000 US$), ainsi que de la perte de son fonds de pension et de son salaire annuel de 150 000 US$61.

2012 et après

Drake apparaît dans un épisode du Daily Show, le , pour échanger sur ses épreuves62. En septembre, il envoie un message audio pour signifier son appui au CryptoParty63. La même année, il reçoit le Hugh M. Hefner First Amendment Award pour souligner sa protection du premier amendement de la Constitution des États-Unis64. Le , il prononce un discours devant le National Press Club sur la communauté du renseignement américaine et son attitude envers les lanceurs d'alerte65.

Edward Snowden suit l'exemple de Drake lorsqu'il fuite des informations sur les programmes de surveillance de la NSA66. Snowden préfère dénoncer publiquement plutôt que de passer par les canaux prévus par la loi à cause des représailles que Drake et d'autres lanceurs d'alerte ont subi. Son geste inspire John Crane, adjoint de l'IG du DoD chargé d'accompagner les lanceurs d'alerte, à devenir lanceur d'alerte lorsqu'il observe que l'IG du DoD a transmis illégalement l'identité de Drake au département de la Justice des États-Unis (DoJ)67.

Après 2012, Drake commence à militer contre la surveillance massive de l'État (surveillance State), prononçant régulièrement des conférences et se prêtant aussi à des entrevues68. L'un des thèmes récurrents, surnommé « privacy exercise », commence ainsi : « Mettez votre existence complète dans une boîte — vos documents, vos comptes de banque, vos mots de passe, tout —, et donnez-la à un étranger — un compatriote américain — pour qu'il la garde en sécurité. Le feriez-vous ? »trad 18 Il affirme que personne n'a encore répondu oui69.

Lors d'une entrevue en , Drake revient encore sur les problèmes de la NSA, déclarant qu'ils sont chroniques et systémiques ; pour lui, il faut la démanteler puis la reconstruire complètement70. Le , Drake et William Binney, ancien directeur technique de la NSA, témoignent devant le comité parlementaire allemand qui enquête sur les écoutes électroniques de la NSA visant les hommes et femmes politiques allemands. Il décrit les liens étroits de la NSA et du BND, un service secret allemand71,72. Le , il apparaît sur un panel commandé par le PEN American Center ; le thème portait sur les « sources secrètes »73.

Dans toute l'histoire des États-Unis, seules quatre personnes ont été poursuivies par le gouvernement fédéral américain pour « rétention volontaire d'information sur la Défense nationale »trad 19,note 2. La plupart des poursuites portent sur la « transmission »trad 20 de documents classifiés à des tierces parties, ce dont Drake n'a jamais été accusé. Cette clause de l'Espionage Act of 1917 a été ajoutée en 1950 à l'époque du maccarthysme, en tant que partie du McCarran Internal Security Act26. Anthony Russo et Daniel Ellsberg sont les premiers à être accusés de rétention volontaire dans le cadre de l'affaire des Pentagon Papers, qu'Ellsberg a transmis au New York Times, affaire qui a mené à une poursuite judiciaire en 1971 qui fait date aux États-Unis : New York Times Co. v. United States. Au terme de ce procès, la cour reconnaît entre autres le droit des médias de publier des informations sensibles. Les accusations contre Russo et Ellsberg ont été rejetées en 1972 à cause de l'inconduite du gouvernement fédéral. La seconde poursuite commence en 1985 contre Samuel Loring Morison, un analyste de l'US Navy qui a vendu des photos satellites à Jane's Defence Weekly ; il recevra la grâce présidentielle. La troisième poursuite, lancée en 2005, vise deux employés du lobby pro-Israël American Israel Public Affairs Committee et un employé du département de la Défense (DoD) : United States v. Franklin, Rosen, and Weissman. Seul l'employé du DoD a été condamné8.

Dans la culture

Thomas Drake apparaît dans le documentaire Silenced (2014)74,75 mis en nomination pour un Emmy Award en 2016. Explorant un thème semblable à Citizenfour, qui montre entre autres les actions entreprises à l'encontre d'Edward Snowden, Silenced a été sélectionné par plusieurs festivals de cinéma et a reçu plusieurs prix76, avant d'être diffusé sur plusieurs réseaux de télévision câblée en .

Toujours en 2014, la participation de Drake au programme Thinthread, les accusations ultérieures, la collaboration d'autres personnes (Roark, Binney, Wiebe et Loomis) et Edward Snowden sont les principaux sujets abordés dans le documentaire de PBS : United States of Secrets77.

Drake apparaît à plusieurs reprises dans le documentaire Nothing to Hide (2016), qui se penche sur la surveillance de masse et la vie privée sur Internet (en)78

 

REF.: https://fr.wikipedia.org/wiki/Thomas_Drake

mercredi 6 septembre 2017

Reality Winner, soupçonnée d’avoir fait fuiter un document de la NSA




Qui est Reality Winner, la jeune femme soupçonnée d’avoir fait fuiter un document de la NSA ?

La sous-traitante américaine de 25 ans encourt jusqu’à 10 ans de prison : la justice lui reproche d’avoir fourni un document détaillant une attaque russe contre le système électoral américain.
LE MONDE | | Par


Une photo de Reality Winner, postée sur son compte Instagram.

Reality Winner rentrait tout juste de vacances au Belize lorsqu’elle a été appréhendée, samedi 3 juin, par des agents du FBI, à son domicile d’Augusta (Géorgie) dans le sud-est des Etats-Unis. Cette native du Texas de 25 ans, employée de Pluribus, une entreprise sous-traitante de la NSA, la puissante agence de renseignement américaine, est accusée par les autorités d’avoir transmis à un média des informations classifiées.Ce document révèle que des pirates informatiques du renseignement militaire russe ont tenté à plusieurs reprises de s'introduire dans les systèmes électoraux américains avant l'élection présidentielle du 8 novembre.Reality Winner affirme que les services de renseignements militaires russes ont cherché, par une campagne d’hameçonnage, à manipuler les systèmes électroniques utilisés pour enregistrer les électeurs américains. L’analyse de la NSA ne précise pas si la tentative de piratage a eu un effet sur le scrutin et convient que « beaucoup d’inconnues demeurent » relativement à ce que ses auteurs ont pu accomplir. Le président russe Vladimir Poutine a toujours nié que son gouvernement ait tenté d’influencer le résultat du scrutin.

La nature de ces documents et l’identité du média ne sont pas précisées dans le document d’accusation, mais elles ne font guère de doute. Quelques minutes avant que le ministère de la justice n’annonce son arrestation, le site The Intercept a publié un document interne à la NSA révélant une attaque menée, selon l’agence, par les services de renseignement russes contre un fabricant de logiciel électoral.
Une publication qui a fait du bruit, puisque ce document est le premier élément tangible étayant les accusations, formulées en janvier par les autorités américaines, d’une ingérence russe dans la course à la Maison Blanche. Reality Winner a été accusée dans le cadre de l’Espionage Act, un texte du début du XXe siècle – une première sous l’ère Trump. Ce texte a été utilisé une dizaine de fois par l’administration Obama, notamment contre Chelsea Manning, la lanceuse d’alerte dont la peine de prison a été ensuite commuée. En cas de condamnation, Reality Winner encourt une peine de dix ans de prison.

Une « idéaliste » récompensée pour son travail dans l’armée

Dans un portrait, The Guardian décrit une jeune femme « idéaliste », très sportive, adepte de yoga, très proche des animaux et passionnée de la série télé Doctor Who. Après ses études, elle a rejoint l’armée de l’air, où elle est notamment chargée d’écouter et de transcrire les communications interceptées par les services de renseignement. Selon sa mère, elle y apprend le persan (une des principales langues parlées en Iran), le dari et le pachtoune (les deux langues officielles en Afghanistan). Mme Winner est « obsédée par le combat contre l’organisation Etat islamique », explique un de ses amis. Elle travaille dans l’armée de l’air jusqu’en 2016, où elle est récompensée d’une décoration pour la qualité de son travail.
Elle est ensuite engagée chez Pluribus, où ses fonctions ne sont pas connues, en février 2017. La NSA a inauguré dans cette ville un centre spécialisé dans la cryptographie en 2012.
Mme Winner n’a aucune affinité avec le nouveau président Donald Trump. « Une merde », dit-elle en février sur Facebook, selon The Guardian. « Un fasciste orange », tacle-t-elle sur Twitter, toujours en février, au sujet de sa politique migratoire. Pour autant, cette animosité, moins visible à partir de son embauche à la NSA, ne semble pas directement liée avec sa décision – un soupçon à ce stade –, de transmettre le document de la NSA à The Intercept. « Je n’aurais jamais pensé qu’elle soit capable de faire ça. Elle m’a dit qu’elle n’était pas fan de Trump, mais ce n’est pas le genre à participer à des émeutes ou à des grèves », a expliqué sa mère, Biller Winner-Davis, aux caméras de CNN. « C’est une patriote ; la voir calomniée ainsi dans les médias est démoralisant », a expliqué son beau-père, Gary Davis. « Ma plus grande peur, c’est qu’elle n’ait pas un procès juste, qu’on en fasse un exemple », a déclaré sa mère, toujours sur CNN.
Le texte qu’elle est accusée d’avoir enfreint, l’Espionage Act, est extrêmement strict et ne fait pas la différence entre des documents transmis à la presse et des informations communiquées à un Etat hostile aux Etats-Unis.
La police a découvert des notes en plusieurs langues au domicile de Mme Winner dont l'une disant « je veux brûler la Maison-Blanche », a précisé la procureure générale adjointe Jennifer Solari, selon la chaîne ABC News et le journal local The Augusta Chronicle.
Les réseaux sociaux fréquentés par la jeune femme révèlent une antipathie pour le président Donald Trump, qu'elle qualifie notamment de « fasciste orange ».
D'autres notes détaillent la manière d'accéder au « dark web », l'internet profond, ou listent les noms de responsables talibans.
« C’est très difficile pour elle de se défendre puisqu’elle ne pourra expliquer pourquoi elle a fait ça », en vertu de ce texte de loi, a expliqué Nancy Hollander, avocate de Chelsea Manning au Guardian.

Snowden et Assange en soutien

Reality Winner a reçu plusieurs soutiens, notamment celui du lanceur d’alerte Edward Snowden, dans un communiqué :
« Les poursuites judiciaires contre des sources (…) sont une menace fondamentale pour la liberté de la presse. »
« Reality Winner doit être soutenue. C’est une jeune femme accusée d’avoir eu le courage de nous aider à savoir », a estimé, dans un message sur Twitter, le fondateur de WikiLeaks, Julian Assange.
Son arrestation a également nourri les accusations contre le site The Intercept (dont le Monde est partenaire dans l’analyse des documents d’Edward Snowden). Certains l’accusent d’avoir facilité la tâche des autorités pour identifier leur source. Le site a en effet, comme c’est l’usage, fourni à la NSA le document en amont de la publication. En repérant que le fichier fourni était une copie d’un document imprimé, les enquêteurs n’ont eu aucun mal à remonter vers des suspects : seuls six agents ou sous-traitants de la NSA avaient récemment imprimé le document.
Un interlocuteur sollicité par le site d’information pour vérifier l’authenticité du document que le site s’apprêtait à publier a également fourni aux enquêteurs le code postal d’où avait été posté le document. Certains experts ont noté que les autorités chargées de remonter à la source ont aussi pu s’appuyer sur des marques quasiment invisibles laissées par l’imprimante, des petits points jaunes qui permettent de déterminer le modèle et l’heure exacte de l’impression qu’il aurait fallu effacer pour plus de discrétion.
Selon le document d’accusation, Mme Winner a reconnu les faits. Elle va comparaître devant un juge jeudi qui décidera, ou non, de sa remise en liberté conditionnelle.

REF.:

vendredi 10 mars 2017

Outils de piratage de la CIA révélées par WikiLeaks

 Surveillance et renseignement:
  • Vault7: plus de 8 000 documents détaillants les outils de hacking de la CIA sont révélés par Wikileaks. Le .torrent est ici; la phrase de passe pour la décompression est ici. de 912 Mo.



Communiqué de presseAujourd'hui, mardi 7 mars 2017, WikiLeaks commence sa nouvelle série de fuites sur la Central Intelligence Agency des États-Unis. Code-nommé "Vault 7" par WikiLeaks, c'est la plus grande publication de documents confidentiels sur l'agence.La première partie intégrale de la série, «Year Zero», comprend 8 761 documents et fichiers d'un réseau isolé de haute sécurité situé à l'intérieur du Centre Cyber ​​Intelligence de la CIA à Langley, Virgina. Il s'ensuit une divulgation introductive le mois dernier de la CIA ciblant les partis politiques et les candidats français avant la tenue de l'élection présidentielle de 2012.Récemment, la CIA a perdu le contrôle de la majorité de son arsenal de piratage, y compris les logiciels malveillants, les virus, les chevaux de Troie, les exploits «zéro jour» armés, les systèmes de contrôle à distance des logiciels malveillants et la documentation associée. Cette collection extraordinaire, qui s'élève à plus de plusieurs centaines de millions de lignes de code, donne à son possesseur toute la capacité de piratage de la CIA. Les archives semblent avoir été diffusées entre les anciens pirates et entrepreneurs du gouvernement des États-Unis d'une manière non autorisée, l'un d'entre eux ayant fourni à WikiLeaks des portions de l'archive."Year Zero" présente l'étendue et la direction du programme de hacking global de la CIA, de son arsenal de logiciels malveillants et de dizaines d'exploits "zéro jour" contre une large gamme de produits américains et européens. Même les téléviseurs Samsung, qui sont transformés en microphones dissimulés.Depuis 2001, la CIA a gagné une prééminence politique et budgétaire par rapport à l'Agence de sécurité nationale des États-Unis (NSA). La CIA s'est trouvée construire non seulement sa flotte de drones maintenant infâme, mais un type très différent de la force secrète, globe-couvrant - sa propre flotte importante de pirates. La division de piratage de l'agence l'a libérée d'avoir à divulguer ses opérations souvent controversées à la NSA (son principal rival bureaucratique) afin de tirer parti des capacités de piratage de la NSA.À la fin de 2016, la division de piratage informatique de la CIA, formellement rattachée au Centre pour le cyberespace (CCI) de l'agence, comptait plus de 5000 utilisateurs enregistrés et avait produit plus de mille systèmes de piratage informatique, chevaux de Troie, virus et autres logiciels malveillants . Telle est l'ampleur de l'engagement de la CIA que d'ici 2016, ses pirates avaient utilisé plus de code que celui utilisé pour exécuter Facebook. La CIA avait en fait créé sa propre «NSA» avec encore moins de responsabilité et sans répondre publiquement à la question de savoir si une telle dépense budgétaire massive pour dupliquer les capacités d'une agence concurrente pourrait être justifiée.Dans une déclaration à WikiLeaks, la source précise les questions de politique qui, selon eux, doivent être débattues en public, y compris si les capacités de piratage de la CIA dépassent ses pouvoirs autorisés et le problème de la surveillance publique de l'agence. La source souhaite initier un débat public sur la sécurité, la création, l'utilisation, la prolifération et le contrôle démocratique des cyber-armes.Une fois qu'une seule «arme» cybertique est «lâche», elle peut se répandre dans le monde en quelques secondes, pour être utilisée par les États rivaux, la mafia cybernétique et les hackers adolescents.Julian Assange, éditeur de WikiLeaks, a déclaré: «Il existe un risque extrême de prolifération dans le développement des« armes »cybernétiques. On peut établir des comparaisons entre la prolifération incontrôlée de ces« armes »qui résulte de l'incapacité de les contenir, La valeur et le commerce mondial des armes, mais l'importance de «l'année zéro» va bien au-delà du choix entre la cyberguerre et la cyberpeace.Wikileaks a soigneusement examiné la divulgation «Année Zéro» et a publié des documents importants de la CIA tout en évitant la distribution de cyber-armes armées jusqu'à ce qu'un consensus se dégage de la nature technique et politique du programme de la CIA et comment ces armes devraient être analysées, désarmées et publiées .Wikileaks a également décidé de rédiger et d'anonymiser certaines informations d'identification dans «Year Zero» pour une analyse approfondie. Ces redactions comprennent dix milliers de cibles CIA et des machines d'attaque en Amérique latine, en Europe et aux États-Unis. Bien que nous soyons conscients des résultats imparfaits de toute approche choisie, nous restons attachés à notre modèle d'édition et notez que la quantité de pages publiées dans "Vault 7" première partie ("Year Zero") éclipse déjà le nombre total de pages publiées Les trois premières années des fuites de la NSA d'Edward Snowden. 
Une analyse:
 Les logiciels malveillants de la CIA visent l'iPhone, Android, les téléviseurs intelligentsLes logiciels malveillants et les outils de piratage informatique de la CIA sont construits par EDG (Engineering Development Group), un groupe de développement de logiciels au sein du CCI (Centre pour la cyberinformation), un département appartenant à la DDI de la CIA. Le DDI est l'une des cinq directions principales de la CIA (voir cet organigramme de la CIA pour plus de détails).Le GED est responsable du développement, de l'essai et du soutien opérationnel de tous les backdoors, exploits, charges utiles malveillantes, chevaux de Troie, virus et tout autre type de malware utilisé par la CIA dans ses opérations secrètes dans le monde entier.La sophistication croissante des techniques de surveillance a établi des comparaisons avec George Orwell 1984, mais «Weeping Angel», développé par la Direction des appareils embarqués (EDB) de la CIA, qui infeste les téléviseurs intelligents et les transforme en microphones cachés, est sans doute la réalisation la plus emblématique.L'attaque contre les téléviseurs intelligents Samsung a été développée en coopération avec le Royaume-Uni MI5 / BTSS. Après l'infestation, Weeping Angel place le téléviseur cible dans un mode «Fake-Off», de sorte que le propriétaire croit faussement que le téléviseur est éteint lorsqu'il est allumé. En mode "Fake-Off", le téléviseur fonctionne comme un bogue, enregistre les conversations dans la salle et les envoie par Internet à un serveur CIA secrète.En octobre 2014, la CIA envisageait également d'infecter les systèmes de contrôle des véhicules utilisés par les voitures et les camions modernes. Le but de ce contrôle n'est pas précisé, mais il permettrait à la CIA de s'engager dans des assassinats presque indétectables.La Direction des appareils mobiles de la CIA (MDB) a développé de nombreuses attaques pour pirater et contrôler à distance les smartphones populaires. Les téléphones infectés peuvent être chargés d'envoyer à la CIA la géolocalisation de l'utilisateur, les communications audio et textuelles, ainsi que d'activer secrètement la caméra et le microphone du téléphone.Malgré la part minoritaire de iPhone (14,5%) du marché mondial des téléphones intelligents en 2016, une unité spécialisée de la Direction du développement mobile de la CIA produit des logiciels malveillants pour infester, contrôler et exfiltrer les données d'iPhones et d'autres produits Apple iOS. L'arsenal de la CIA comprend de nombreux «jours zéro» locaux et éloignés développés par la CIA ou obtenus auprès du GCHQ, de la NSA ou du FBI ou achetés auprès d'entrepreneurs en cybercommerce tels que Baitshop. L'accent disproportionné sur iOS peut s'expliquer par la popularité de l'iPhone parmi les élites sociales, politiques, diplomatiques et commerciales.Une unité similaire cible Android de Google qui est utilisé pour exécuter la majorité des téléphones intelligents du monde (~ 85%), y compris Samsung, HTC et Sony. 1,15 milliard de téléphones Android ont été vendus l'année dernière. "Year Zero" montre qu'à partir de 2016, la CIA avait 24 "armes" Android "zéro jours" qu'il a développé lui-même et obtenu auprès de GCHQ, NSA et les armements de cyber armes.Ces techniques permettent à la CIA de contourner le cryptage de WhatsApp, Signal, Telegram, Wiebo, Confide et Cloackman en piratant les téléphones "intelligents" sur lesquels ils fonctionnent et en collectant le trafic audio et de message avant que le cryptage ne soit appliqué.

 
CIA malware cible Windows, OSx, Linux, routeurs

 La CIA exécute également un effort très important pour infecter et contrôler les utilisateurs de Microsoft Windows avec ses logiciels malveillants. Cela comprend de nombreux virus à sauts d'air, tels que "Hammer Drill", qui infecte les logiciels distribués sur CD / DVD, les infectors pour les médias amovibles tels que les USB, les systèmes pour cacher les données dans les images ou dans les zones de disque cachées («Branle Kangaroo») et de maintenir ses infestations de logiciels malveillants.Beaucoup de ces efforts d'infection sont rassemblés par la Direction de l'implantation automatisée de la CIA (AIB), qui a développé plusieurs systèmes d'attaque pour l'infestation automatisée et le contrôle des logiciels malveillants de la CIA, tels que «Assassin» et «Medusa».Les attaques contre l'infrastructure Internet et les serveurs Web sont développées par la Direction des périphériques réseau (NDB) de la CIA.La CIA a mis au point des systèmes automatisés d'attaque et de contrôle des programmes malveillants multiplateformes couvrant les domaines Windows, Mac OS X, Solaris, Linux et autres, comme EDE «HIVE» et les outils «Cutthroat» et «Swindle» qui sont décrits dans les exemples Dessous.

 
Vulnérabilités de la CIA («zéro jour»)Dans le sillage des fuites d'Edward Snowden au sujet de la NSA, l'industrie de la technologie américaine a obtenu un engagement de l'administration Obama que l'exécutif révélerait sur une base continue - plutôt que de stocker - de graves vulnérabilités, exploits, Google, Microsoft et autres fabricants basés aux États-Unis.De graves vulnérabilités ne sont pas divulguées aux fabricants place énormes portions de la population et des infrastructures critiques à risque pour les renseignements étrangers ou les cybercriminels qui découvrent indépendamment ou entendre des rumeurs de la vulnérabilité. Si la CIA peut découvrir de telles vulnérabilités, les autres peuvent en faire autant.L'engagement du gouvernement des États-Unis à l'égard du Processus d'équité en matière de vulnérabilité est venu après un lobbying important de la part des entreprises technologiques américaines qui risquent de perdre leur part du marché mondial par rapport aux vulnérabilités cachées réelles et perçues. Le gouvernement a déclaré qu'il divulguerait toutes les vulnérabilités omniprésentes découvertes après 2010 de façon continue.Les documents «Year Zero» montrent que la CIA a violé les engagements de l'administration Obama. Bon nombre des vulnérabilités utilisées dans l'arsenal cybernétique de la CIA sont omniprésentes et certaines peuvent déjà avoir été trouvées par des agences de renseignement rivales ou des cybercriminels.À titre d'exemple, les logiciels malveillants CIA spécifiques révélés dans «Year Zero» est capable de pénétrer, d'infester et de contrôler à la fois le téléphone Android et iPhone logiciel qui fonctionne ou a couru présidentielle comptes Twitter. La CIA attaque ce logiciel en utilisant des vulnérabilités de sécurité non divulguées («zéro jour») possédées par la CIA, mais si la CIA peut pirater ces téléphones, alors tout le monde peut avoir obtenu ou découvert la vulnérabilité. Tant que la CIA maintient ces vulnérabilités cachées à Apple et Google (qui font les téléphones), ils ne seront pas fixés, et les téléphones resteront hackable.Les mêmes vulnérabilités existent pour la population dans son ensemble, y compris le Cabinet des États-Unis, le Congrès, les principaux PDG, les administrateurs système, les agents de sécurité et les ingénieurs. En cachant ces défauts de sécurité de fabricants comme Apple et Google la CIA s'assure qu'il peut couper tout le monde & mdsh; Au détriment de laisser tout le monde hackable.

 
Les programmes de cyberguerre constituent un grave risque de prolifération

 Les «armes» cyberes ne peuvent pas rester sous contrôle effectif.Alors que la prolifération nucléaire a été freinée par les coûts énormes et l'infrastructure visible nécessaire pour assembler suffisamment de matières fissiles pour produire une masse nucléaire critique, les «armes» cybernétiques, une fois développées, sont très difficiles à retenir.Cyber ​​«armes» sont en fait des programmes informatiques qui peuvent être piratés comme tout autre. Comme ils sont entièrement composés d'informations, ils peuvent être copiés rapidement sans coût marginal.La sécurisation de ces «armes» est particulièrement difficile puisque les mêmes personnes qui les développent et les utilisent ont les compétences nécessaires pour exfiltrer des copies sans laisser de traces - parfois en utilisant les mêmes «armes» contre les organisations qui les contiennent. Il existe des incitations substantielles aux prix pour les pirates du gouvernement et les consultants pour obtenir des copies, car il existe un «marché de la vulnérabilité» mondial qui paiera des centaines de milliers à des millions de dollars pour des copies de ces «armes». De même, les entrepreneurs et les entreprises qui obtiennent de telles «armes» les utilisent parfois à leurs propres fins, obtenant un avantage sur leurs concurrents en vendant des services de «piratage».Au cours des trois dernières années, le secteur du renseignement américain, composé d'agences gouvernementales telles que la CIA et la NSA et leurs entrepreneurs, comme Booz Allan Hamilton, a fait l'objet d'une série sans précédent d'exfiltrations de données par ses propres travailleurs.Un certain nombre de membres de la communauté de renseignement qui n'ont pas encore été nommés publiquement ont été arrêtés ou soumis à des enquêtes criminelles fédérales dans des incidents distincts.Plus visiblement, le 8 février 2017, un grand jury fédéral américain a accusé Harold T. Martin III de 20 chefs d'accusation de mauvaise manipulation d'informations classifiées. Le ministère de la Justice a allégué qu'il avait saisi quelque 50 000 gigaoctets de renseignements provenant de Harold T. Martin III qu'il avait obtenus de programmes classifiés à la NSA et à la CIA, y compris le code source de nombreux outils de piratage informatique.Une fois que le cyber «arme» est «lâche», il peut se répandre dans le monde en quelques secondes, pour être utilisé par les États pairs, la cybermafie et les hackers adolescents.

 
Le consulat des États-Unis à Francfort est une base secrète de pirates informatiques de la CIAEn plus de ses opérations à Langley, en Virginie, la CIA utilise également le consulat des États-Unis à Francfort comme une base secrète pour ses pirates couvrant l'Europe, le Moyen-Orient et l'Afrique.Les pirates de la CIA opérant à partir du consulat de Francfort («Centre pour l'Europe du Cyber ​​Intelligence» ou CCIE) reçoivent des passeports diplomatiques («noirs») et une couverture du Département d'Etat. Les instructions pour les pirates entrants de la CIA font que les efforts de contre-espionnage de l'Allemagne semblent sans conséquence: "Brise à travers les douanes allemandes parce que tu as votre histoire de couverture pour action, et tout ce qu'ils ont fait, c'est marquer ton passeport"Votre histoire de couverture (pour ce voyage)Q: Pourquoi êtes-vous ici?R: Appuyer les consultations techniques au Consulat.Deux publications antérieures de WikiLeaks donnent plus de détails sur les approches de la CIA en matière de douanes et de procédures de dépistage secondaires.Une fois à Francfort, les hackers de la CIA peuvent voyager sans contrôle supplémentaire aux 25 pays européens qui font partie de la zone frontalière ouverte de Shengen - y compris la France, l'Italie et la Suisse.Un certain nombre de méthodes d'attaque électronique de la CIA sont conçues pour la proximité physique. Ces méthodes d'attaque sont capables de pénétrer les réseaux de haute sécurité qui sont déconnectés de l'Internet, comme la base de données de dossiers de police. Dans ces cas, un agent de la CIA, un agent ou un officier du renseignement allié agissant en vertu d'instructions, infiltre physiquement le lieu de travail ciblé. L'attaquant est fourni avec un USB contenant des logiciels malveillants développés pour la CIA à cet effet, qui est inséré dans l'ordinateur ciblé. L'attaquant infecte et exfiltre ensuite les données sur des supports amovibles. Par exemple, le système d'attaque CIA Fine Dining, fournit 24 applications de leurres pour les espions de la CIA à utiliser. Pour les témoins, l'espion semble exécuter un programme montrant des vidéos (par exemple VLC), présenter des diapositives (Prezi), jouer à un jeu d'ordinateur (Breakout2, 2048) ou même exécuter un faux antivirus (Kaspersky, McAfee, Sophos). Mais alors que l'application de leurre est sur l'écran, le système de sous-couche est automatiquement infecté et saccagé.

 
Comment la CIA a considérablement augmenté les risques de prolifération

Dans ce qui est sûrement l'un des objectifs les plus étonnants de la mémoire, la CIA a structuré son système de classification de sorte que pour la partie la plus précieuse du marché de «Vault 7» - les logiciels malveillants de la CIA (implants + zéro jour) LP) et les systèmes de commandement et de contrôle (C2) - l'agence a peu de recours juridique.La CIA a rendu ces systèmes non classés.Pourquoi la CIA a choisi de faire de son cyberarsenal non classé révèle comment les concepts développés pour l'usage militaire ne se croisent pas facilement au «champ de bataille» de la «guerre» cybernétique.Pour attaquer ses cibles, la CIA exige généralement que ses implants communiquent avec leurs programmes de contrôle sur Internet. Si les implants CIA, Command & Control et le logiciel Listening Post ont été classés, les agents de la CIA pourraient être poursuivis ou rejetés pour violation des règles qui interdisent de placer des informations classifiées sur Internet. Par conséquent, la CIA a secrètement fait la plupart de son cyber espionnage / code de guerre non classés. Le gouvernement des États-Unis n'est pas en mesure d'affirmer le droit d'auteur non plus, en raison des restrictions de la Constitution des États-Unis. Cela signifie que les fabricants de «bras» et les pirates informatiques peuvent «pirater» librement ces «armes» s'ils sont obtenus. La CIA a d'abord dû se fier à l'obfuscation pour protéger ses secrets de logiciels malveillants.Des armes classiques telles que des missiles peuvent être tirées sur l'ennemi (c'est-à-dire dans une zone non sécurisée). La proximité ou l'impact avec la cible fait exploser l'artillerie, y compris ses parties classées. Par conséquent, le personnel militaire ne viole pas les règles de classification en tirant des munitions avec des pièces classées. Ordnance va probablement exploser. Si ce n'est pas le cas, ce n'est pas l'intention de l'exploitant.Au cours de la dernière décennie, les opérations de piratage des États-Unis ont été de plus en plus habillées dans le jargon militaire pour exploiter les flux de financement du ministère de la Défense. Par exemple, les tentatives d '«injection de logiciels malveillants» (jargon commercial) ou de «gouttes d'implant» (jargon de la NSA) sont appelées «feux» comme si une arme était tirée. Cependant l'analogie est discutable.Contrairement aux balles, aux bombes ou aux missiles, la plupart des logiciels malveillants de la CIA sont conçus pour vivre pendant des jours voire des années après avoir atteint sa «cible». Les logiciels malveillants de la CIA ne «explosent pas à l'impact» mais infestent en permanence leur cible. Afin d'infecter le périphérique de la cible, des copies du malware doivent être placées sur les dispositifs de la cible, en donnant la possession physique du malware à la cible. Pour exfiltrer les données à la CIA ou attendre d'autres instructions, le logiciel malveillant doit communiquer avec les systèmes CIA Command & Control (C2) placés sur des serveurs connectés à Internet. Mais ces serveurs ne sont généralement pas autorisés à détenir des informations classifiées, de sorte que les systèmes de commandement et de contrôle de l'ICA ne sont pas classifiés.Une «attaque» réussie sur le système informatique d'une cible ressemble davantage à une série de manœuvres de stock complexes dans une offre hostile de prise de contrôle ou à la mise en place soigneuse de rumeurs afin de prendre le contrôle du leadership d'une organisation plutôt que le tir d'un système d'armes. S'il y a une analogie militaire à faire, l'infestation d'une cible est peut-être semblable à l'exécution d'une série de manœuvres militaires contre le territoire de la cible, y compris l'observation, l'infiltration, l'occupation et l'exploitation.

 
Évasion forensique et anti-virusUne série de normes exposent les modèles d'infestation de logiciels malveillants de la CIA qui sont susceptibles d'aider les enquêteurs judiciaires du crime ainsi que Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens et les entreprises anti-virus attribue et défendre contre les attaques.«Les DO et les DON'T de Tradecraft» contiennent des règles de la CIA sur la façon dont les logiciels malveillants devraient être écrits afin d'éviter les empreintes digitales impliquant la «CIA, le gouvernement américain ou ses partenaires partenaires» dans «l'examen médico-légal». Des normes secrètes semblables couvrent l'utilisation du cryptage pour masquer les pirates informatiques et les communications malveillantes de la CIA (pdf), décrivant les cibles et les données exfiltrées (pdf) ainsi que l'exécution des charges utiles (pdf) et la persistance (pdf) des machines de la cible au fil du temps.Les pirates de la CIA ont développé des attaques réussies contre les programmes anti-virus les plus connus. Ceux-ci sont documentés dans les défaites AV, les produits de sécurité personnelle, la détection et la défaite des PSP et PSP / Debugger / RE Avoidance. Par exemple, Comodo a été vaincu par les logiciels malveillants de la CIA se plaçant dans la «Corbeille» de la fenêtre. Alors que Comodo 6.x a un "trou de Gaping de DOOM".Les pirates informatiques de la CIA ont discuté de ce que les pirates de la NSA «Equation Group» ont fait de mal et comment les fabricants de logiciels malveillants de la CIA pouvaient éviter une exposition similaire.

 
Exemples

 Le système de gestion du Groupe de développement de l'ingénierie (GED) de la CIA contient environ 500 projets différents (dont certains sont documentés par «Année Zéro»), chacun avec ses propres sous-projets, les logiciels malveillants et les outils pirates.La majorité de ces projets concernent des outils utilisés pour la pénétration, l'infestation («implantation»), le contrôle et l'exfiltration.Une autre branche du développement se concentre sur le développement et le fonctionnement des systèmes d'écoute (LP) et de commande et de contrôle (C2) utilisés pour communiquer avec et contrôler les implants CIA; Des projets spéciaux sont utilisés pour cibler le matériel spécifique des routeurs aux téléviseurs intelligents.Quelques exemples de projets sont décrits ci-dessous, mais voir la table des matières pour la liste complète des projets décrits par WikiLeaks «Year Zero».

 
OMBRAGELes techniques de piratage à la main de la CIA posent un problème à l'agence. Chaque technique qu'il a créée forme une «empreinte digitale» qui peut être utilisée par les enquêteurs légistes pour attribuer plusieurs attaques différentes à la même entité.Ceci est analogue à la découverte de la même blessure de couteau distinctif sur plusieurs victimes de meurtre distinctes. Le style blessing unique suscite la suspicion qu'un seul meurtrier est responsable. Dès qu'un assassinat dans l'ensemble est résolu alors les autres meurtres trouvent également l'attribution probable.Le groupe UMBRAGE de la Direction des appareils à distance de la CIA recueille et gère une importante bibliothèque de techniques d'attaque «volées» contre les logiciels malveillants produits dans d'autres États, dont la Fédération de Russie.Avec l'UMBRAGE et les projets connexes, la CIA peut non seulement augmenter son nombre total de types d'attaque, mais aussi distraire l'attribution en laissant derrière elle les «empreintes digitales» des groupes dont les techniques d'attaque ont été volées.Les composants UMBRAGE couvrent les keyloggers, la collecte de mots de passe, la capture de webcam, la destruction des données, la persistance, l'escalade des privilèges, l'évitement de la furtivité, l'anti-virus (PSP) et les techniques d'enquête.

 
RestaurationFine Dining est livré avec un questionnaire standardisé, c'est-à-dire le menu que les agents de la CIA remplir. Le questionnaire est utilisé par le Bureau de soutien opérationnel (OSB) de l'agence pour transformer les demandes des agents de cas en exigences techniques pour les attaques de piratage (généralement «exfiltrer» des informations provenant de systèmes informatiques) pour des opérations spécifiques. Le questionnaire permet au BSF d'identifier comment adapter les outils existants pour l'opération et de les communiquer au personnel de configuration des programmes malveillants de la CIA. Le BSF sert d'interface entre le personnel opérationnel de l'ICA et le personnel de soutien technique pertinent.Parmi la liste des cibles possibles de la collection figurent «Actif», «Actif de liaison», «Administrateur de système», «Opérations d'information étrangère», «Agences de renseignement étrangères» et «Entités gouvernementales étrangères». Il est notamment absent de mentionner les extrémistes ou les criminels transnationaux. L'agent de cas est également invité à spécifier l'environnement de la cible comme le type d'ordinateur, le système d'exploitation utilisé, la connectivité Internet et les utilitaires antivirus installés (PSP), ainsi qu'une liste de types de fichiers à exfiltrer comme des documents Office , Audio, vidéo, images ou types de fichiers personnalisés. Le «menu» demande également des informations si un accès récurrent à la cible est possible et combien de temps l'accès non observé à l'ordinateur peut être maintenu. Ces informations sont utilisées par le logiciel 'JQJIMPROVISE' de la CIA (voir ci-dessous) pour configurer un ensemble de logiciels malveillants CIA adaptés aux besoins spécifiques d'une opération.

 
Improviser (JQJIMPROVISE)

 'Improvise' est un ensemble d'outils pour la configuration, le post-traitement, la configuration de la charge utile et la sélection des vecteurs d'exécution pour les outils d'enquête et d'exfiltration supportant tous les principaux systèmes d'exploitation comme Windows (Bartender), MacOS (JukeBox) et Linux (DanceFloor). Ses utilitaires de configuration tels que Margarita permettent au NOC (Network Operation Center) de personnaliser les outils en fonction des exigences des questions «Fine Dining».

 
RUCHEHIVE est une suite malware multi-plate-forme de la CIA et son logiciel de contrôle associé. Le projet fournit des implants personnalisables pour Windows, Solaris, MikroTik (utilisé dans les routeurs Internet) et les plates-formes Linux et une infrastructure Listening Post (LP) / Command and Control (C2) pour communiquer avec ces implants.Les implants sont configurés pour communiquer via HTTPS avec le serveur web d'un domaine de couverture; Chaque opération utilisant ces implants a un domaine de couverture séparé et l'infrastructure peut gérer n'importe quel nombre de domaines de couverture.Chaque domaine de couverture se résout à une adresse IP qui se trouve à un fournisseur commercial VPS (Virtual Private Server). Le serveur public redirige tout le trafic entrant via un VPN vers un serveur Blot qui gère les demandes de connexion réelles des clients. Il est configuré pour l'authentification facultative client SSL: si un client envoie un certificat client valide (seuls les implants peuvent le faire), la connexion est transmise au serveur d'outils 'Honeycomb' qui communique avec l'implant; Si un certificat valide est manquant (ce qui est le cas si quelqu'un essaie d'ouvrir le site Web de domaine de couverture par accident), le trafic est transmis à un serveur de couverture qui fournit un site Web sans prétention.Le serveur d'outils Honeycomb reçoit des informations exfiltrées de l'implant; Un opérateur peut également charger l'implant d'exécuter des tâches sur l'ordinateur cible, de sorte que le serveur d'outils agit en tant que serveur C2 (commande et contrôle) pour l'implant.Une fonctionnalité similaire (bien que limitée à Windows) est fournie par le projet RickBobby.Consultez les guides d'utilisateur et de développeur classifiés pour HIVE.

 
Questions fréquemment posées

 
Pourquoi maintenant?WikiLeaks a publié dès que sa vérification et analyse étaient prêtes.En février, l'administration Trump a émis un décret ordonnant la préparation d'un examen «Cyberwar» dans les 30 jours.Bien que l'examen augmente l'actualité et la pertinence de la publication, il n'a pas joué un rôle dans la fixation de la date de publication.

 
RedactionsLes noms, adresses de courrier électronique et adresses IP externes ont été effacés dans les pages publiées (70,875 redactions au total) jusqu'à ce que l'analyse soit terminée.

    
Sur-rédaction: Certains éléments peuvent avoir été expurgés qui ne sont pas des employés, des entrepreneurs, des cibles ou autrement liés à l'agence, mais sont par exemple des auteurs de documents pour des projets autrement publics utilisés par l'agence.
    
Identité vs personne: les noms redigés sont remplacés par des ID utilisateur (numéros) pour permettre aux lecteurs d'attribuer plusieurs pages à un seul auteur. Étant donné le processus de rédaction utilisé, une seule personne peut être représentée par plus d'un identificateur affecté, mais aucun identifiant ne fait référence à plus d'une personne réelle.
    
Les pièces jointes archivées (zip, tar.gz, ...) sont remplacées par une liste PDF répertoriant tous les noms de fichier dans l'archive. À mesure que le contenu de l'archive est évalué, il peut être mis à disposition; Jusqu'à ce que l'archive soit expurgée.
    
Les pièces jointes avec d'autres contenus binaires sont remplacées par un vidage hexadécimal du contenu pour empêcher l'invocation accidentelle de fichiers binaires susceptibles d'avoir été infectés par des logiciels malveillants CIA. Comme le contenu est évalué, il peut être mis à disposition; Jusqu'à ce que le contenu soit expurgé.
    
Les dizaines de milliers de références d'adresses IP routables (dont plus de 22 000 aux États-Unis) qui correspondent à des cibles possibles, des serveurs d'écoute secrètes de l'ICA, des systèmes intermédiaires et des systèmes de test, sont expurgées pour une enquête exclusive supplémentaire.
    
Les fichiers binaires d'origine non publique sont uniquement disponibles en tant que décharges pour empêcher l'invocation accidentelle des binaires infectés par les logiciels malveillants de la CIA.

 
Organigramme

 L'organigramme correspond au matériel publié par WikiLeaks à ce jour.Étant donné que la structure organisationnelle de la CIA au-dessous du niveau des directions n'est pas publique, le placement de l'EDG et de ses branches dans l'organigramme de l'agence est reconstruit à partir des informations contenues dans les documents publiés jusqu'à présent. Il est destiné à être utilisé comme un schéma approximatif de l'organisation interne; Veuillez noter que l'organigramme reconstitué est incomplet et que des réorganisations internes sont fréquentes.

 
Pages Wiki«Year Zero» contient 7818 pages Web avec 943 pièces jointes du groupware de développement interne. Le logiciel utilisé à cet effet est appelé Confluence, un logiciel propriétaire d'Atlassian. Pages Web dans ce système (comme dans Wikipedia) ont un historique de version qui peut fournir des aperçus intéressants sur la façon dont un document a évolué au fil du temps; Les 7818 documents incluent ces historiques de page pour 1136 dernières versions.L'ordre des pages nommées à l'intérieur de chaque niveau est déterminé par la date (la plus ancienne en premier). Le contenu de la page n'est pas présent s'il a été initialement créé dynamiquement par le logiciel Confluence (comme indiqué sur la page reconstruit).

 
Quelle période est couverte?Les années 2013 à 2016. L'ordre de tri des pages au sein de chaque niveau est déterminé par la date (la plus ancienne en premier).WikiLeaks a obtenu la date de création / dernière modification de la CIA pour chaque page, mais celles-ci n'apparaissent pas encore pour des raisons techniques. Habituellement, la date peut être discernée ou approchée du contenu et de l'ordre des pages. S'il est essentiel de connaître l'heure exacte, contactez WikiLeaks.

 
Qu'est-ce que "Vault 7"«Vault 7» est une importante collection de documents sur les activités de la CIA obtenues par WikiLeaks.

 
Quand a-t-on obtenu chaque partie de la «Voûte 7»?La première partie a été obtenue récemment et couvre jusqu'en 2016. Des détails sur les autres parties seront disponibles au moment de la publication.

 
Est-ce que chaque partie de "Vault 7" provient d'une source différente?Les détails sur les autres parties seront disponibles au moment de la publication.

 
Quelle est la taille totale de "Vault 7"?La série est la plus grande publication de renseignement de l'histoire.

 
Comment WikiLeaks at-il obtenu chaque partie de "Vault 7"?Les sources font en sorte que WikiLeaks ne révèle pas d'informations susceptibles de les identifier.


 WikiLeaks n'est-il pas inquiet que la CIA agisse contre son personnel pour arrêter la série?

Non. Ce serait certainement contre-productif.


WikiLeaks a-t-il déjà «extrait» toutes les meilleures histoires?

Non. WikiLeaks a intentionnellement pas écrit des centaines d'histoires d'impact pour encourager les autres à les trouver et ainsi créer une expertise dans la région pour les parties suivantes de la série. Ils sont là. Regardez. Ceux qui démontrent l'excellence journalistique peuvent être considérés pour l'accès précoce aux parties futures.


Les autres journalistes ne trouveront-ils pas toutes les meilleures histoires devant moi?

Improbable. Il y a beaucoup plus d'histoires que de journalistes ou d'universitaires qui sont en mesure de les écrire.

 Nota : peut contenir un virus !

Et les pages web qui relient a ce backdoor:

C:\Users\CIA-Vault7---year0\vault7\cms\page_13762803.html    exp.cve.20152548.1 
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762807.html    exp.cve.20152548.1
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762809.html    exp.cve.20152548.1  
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762811.html    exp.cve.20152548.1 
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762814.html    exp.cve.20152548.1  
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762818.html    exp.cve.20152548.1




Voici les notes de Marc Maiffret:

Je voulais noter quelques éléments afin que les chercheurs en logiciels malveillants puissent suivre. N'hésitez pas à m'envoyer des corrections et des ajouts à Marc au nom de ce site. Les mises à jour de Twitter se produisent ici: https://twitter.com/marcmaiffretHttps://wikileaks.org/ciav7p1/cms/page_41123853.htmlWikileaks a décidé de refaire tous les fichiers binaires qui faisaient partie de la fuite de la CIA. Il semble qu'il y ait deux binaires cependant qu'ils ont décidé de ne pas refaire ou simplement commettre une erreur.Le premier est win32-srv8.zabbix-tech.com.exe qui a tout simplement été laissé pour téléchargement. Https://wikileaks.org/ciav7p1/cms/page_34308128.html Cela a été référencé dans quelques endroits en ligne et je suis analysé par quelqu'un quelque part.Celui dont je voulais faire une remarque rapide concernait JQJSNICKER (https://wikileaks.org/ciav7p1/cms/page_41123853.html). Wikileaks a redaculé tous les binaires sur cette page en les remplaçant par un PDF qui mentionne que les fichiers sont encore en cours d'examen.Ils ont néanmoins autorisé le téléchargement du fichier installateur.reg. Il s'agit d'un fichier clé du Registre Windows qui, lorsqu'il est importé sur un système, créera une tâche planifiée dans Windows. Après avoir nettoyé le fichier .reg en remplaçant # caractères par rien, vous aurez une valeur de clé. La variable de données et à l'intérieur d'elle est un exécutable DLL encodé base64.Cela décode un dll nommé installer.dll. Il s'agit d'une application .NET que vous pouvez décompiler dans n'importe quel décompilateur .NET tel que Jetbrains dotPeek. Les auteurs ont essayé pour une nuisance légère de code de .NET en utilisant le SmartAssembly d'obfuscator .NET de Redgate.Le fichier Installer.dll possède des fonctionnalités intéressantes, y compris le lancement d'une commande PowerShell avec executionPolicy sans restriction.Ce qui est plus intéressant, c'est une autre DLL .NET codée dans la section ressources de Installer.dll. Ceci est également codé en Base64 et décode sur un fichier Core.dll.Core.dll semble être une commande et un contrôle, ou plus, un programme de commande et d'exécution. Il convient de noter qu'il existe des caractéristiques de ce programme qui correspondent aux recommandations de conception d'implant documentées dans les fuites Vault7.Un aspect remarquable de Core.dll est une URL référencée sur le site notepad.cc.Notepad.cc était un site Web public comme pastebin où les gens pouvaient publier anonymement du contenu pour ensuite être référencé via des URL statiques. Je publie ce rapide, il faut plus de temps pour enquêter exactement sur la façon dont ces URL sont exploitées. Il convient de noter que le développeur de Notepad.cc a fermé le site Web en décembre 2015.Un autre aspect du mécanisme de rappel est qu'il semble avoir une erreur de frappe dans l'en-tête de l'agent utilisateur qui pourrait être utilisé dans la perspective de signature.La variable UserAgent manque la fermeture). Il est également intéressant de noter qu'ils ont utilisé une chaîne d'agent utilisateur de périphérique tactile comme indiqué par Touch à la fin. Il est possible qu'ils copient et collent de l'écran tactile des ordinateurs portables Dell dans leurs laboratoires? : -oIl y a plus dans ces binaires, mais je voulais obtenir quelque chose rapidement, de sorte que les ingénieurs inversés en cas de malveillance à temps plein beaucoup mieux peuvent regarder.Enfin, il convient de noter que lorsque j'ai téléchargé ces deux binaires sur Virus Total, la détection était 2/59 pour Installer.dll et 1/60 pour Core.dll.Ce qui est intéressant, c'est que Kaspersky était l'un des seuls lecteurs à détecter jusqu'ici. Cela est logique, car je crois comprendre que Kaspersky possède un rapport interne sur ce logiciel malveillant dans lequel ils signalent cette erreur binaire Wikileaks possible que je documentais ici. Je ne suis pas certain qu'ils ont rendu ce public mais n'ont rien vu sur leur blog au moment de l'écriture. Notez la raison pour laquelle ZoneAlarm détecte que c'est aussi parce qu'ils autorisent le moteur de Kaspersky. Il est également intéressant de noter que Kaspersky, au moment de l'écriture, ne détectait pas Core.dll (intégré dans Installer.dll). Je ne sais pas si c'est parce qu'ils n'ont pas vu que dans leur analyse ou les mises à jour de signature n'avaient tout simplement pas frappé Virus Total pour l'instant.

Le code comporte des mécanismes pour se nettoyer à partir d'un système. Il existe cependant des artefacts qui pourraient être laissés en cas d'accident et / ou sur un système qui n'a jamais été nettoyé. L'un de ces exemples est une clé de registre qui semble unique à ce logiciel malveillant:

    
SOFTWARE \ Microsoft \ DRM \ {cd704ff3-cd05-479e-acf7-6474908031dd}





Source.: