Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé Edward Snowden. Afficher tous les messages
Aucun message portant le libellé Edward Snowden. Afficher tous les messages

dimanche 27 novembre 2022

Avant Edward Snowden,il y a eut Thomas Drake

 

Avant Edward Snowden,il y a eut Thomas Drake


Publié le novembre 27, 2022 par T30 le Blogger    

Thomas Drake, un lanceur d’alerte autrefois cadre de la NSA, n’est pas étonné d’apprendre que le Canada accède aux demandes de l’agence américaine. « Ça a été le cas pendant des années. »

M. Drake affirme avoir lui-même collaboré avec le CSTC alors qu’il travaillait pour la NSA et est lui aussi d’avis que les agents canadiens sont « d’une compétence extraordinaire ».

Pour M. Drake, « ces opérations secrètes de surveillance vont si loin qu’« il y a un danger clair et irréfutable qui menace la démocratie au Canada ».

Thomas Andrews Drake est un lanceur d’alerte américain, né le 22 avril 1957 en Louisiane. Vétéran décoré de l’US Navy, ce cadre supérieur de la National Security Agency (NSA) dénonce la corruption et la gestion déficiente du Trailblazer Project, ce qui lui vaut d’être accusé par le gouvernement fédéral américain d’avoir attenté à la sécurité nationale selon les termes de l’Espionage Act of 1917. Bien qu’encourant 35 ans de prison, il est finalement condamné pour un délit mineur, mais perd son emploi à la NSA.
Biographie

Le père de Thomas Drake est un vétéran de la Seconde Guerre mondiale, alors que sa mère a été l’une des secrétaires de l’écrivain Pearl Buck. Thomas entre dans l’US Air Force en 1979, où il devient un spécialiste de l’écoute électronique embarquée (Airborne Voice Processing), du fait de sa maîtrise de l’allemand. Il participe également à des missions de surveillance électronique (ELINT)4. C’est dans le cadre de ces missions qu’il est amené à observer les télécommunications de la RDA, État qu’il compare aux États-Unis des années 2000-2010 à cause de plusieurs décisions touchant la vie privée des citoyens américains depuis les attentats du 11 septembre 20015. Il quitte l’Air Force en 1989. Il a aussi travaillé pour l’US Navy, où il est chargé d’analyser des informations pour le compte du National Military Joint Intelligence Center6. Selon The Washington Post, il aurait aussi travaillé pour la CIA7. En 1989, en tant que contractuel pour la NSA, il analyse des logiciels8,7,9. Pour les programmes JACKPOT et LIBRARIAN, il mène des tests de qualité sur les logiciels utilisés. En parallèle, il poursuit des études universitaires10,11.

En 2000, une société travaillant dans l’informatique l’embauche comme spécialiste en qualité logicielle et consultant en TIC12,13. À la fin de 2001, la NSA l’embauche à temps plein et l’assigne au Signals Intelligence Directorate à Fort Meade au Maryland. Il commence à travailler le 11 septembre 2001, le jour des attentats sur le sol américain14,15,16. En 2002, il est nommé directeur d’une section logicielle qui fait partie du Cryptologic Systems and Professional Health Office. En 2003, il est nommé manager du Directorate of Engineering de la NSA. Il détient alors une habilitation Top Secret14. Pendant l’enquête du Congrès américain sur les attentats du 11 septembre, il témoigne des manquements de la NSA7. En 2006, il est assigné à la National Defense University (NDU)7, où il est nommé à la chaire NSA et professeur adjoint en sciences du comportement de l’Industrial College of the Armed Forces (ICAF)14, l’un des colleges de la NDU. Drake est obligé de démissionner de la NDU lorsque son habilitation est suspendue en 2007 ; il démissionne de la NSA l’année suivante17,14,18. Il est ensuite embauché par l’université Strayer mais il est obligé de quitter en 2010 lorsqu’il fait l’objet d’une poursuite judiciaire du gouvernement américain18.

En avril 2010, le gouvernement américain accuse Drake de négligence dans la manipulation de documents classés secrets. C’est l’un des rares employés du gouvernement américain à être accusé selon les termes de l’Espionage Act of 1917. Les défendeurs de Drake avancent plutôt qu’il a été persécuté pour avoir dénoncé la corruption et la gestion déficiente du Trailblazer Project8,17,19,20,14,21. Ensuite, il trouve un emploi dans un magasin de la société Apple7,18. Il fonde à cette époque la société de consultants Knowpari Systems22.

Le 9 juin 2011, l’ensemble des 10 charges à son encontre sont abandonnées. Auparavant, Drake avait rejeté plusieurs propositions de peines parce qu’il refusait une « négociation de plaidoyer avec la vérité »trad 1. Il a plus tard plaidé coupable pour le seul délit d’avoir excédé l’autorisation d’utiliser un ordinateur23. Jesselyn Radack, qui l’a défendu, a qualifié ce geste de « désobéissance civile »24.

En 2011, il reçoit le prix Ridenhour de la vérité2 et est co-récipiendaire du Sam Adams Award for Integrity in Intelligence (SAAII). Lorsqu’il reçoit le SAAII, il dit (rappelant le discours de 1857 prononcé par Frederick Douglass, ancien esclave devenu éditeur) :

    « Le pouvoir et ceux qui contrôlent ne concèdent rien […] sans une demande. Ils ne l’ont jamais fait et ne le feront jamais. […] Chacun d’entre nous doit continuer à exiger, à se battre, à tonner, à labourer, à lutter, à s’exprimer et à parler jusqu’à ce que justice soit faite, car là où il n’y a pas de justice, il ne peut y avoir de paixtrad 2,5. »

Dénonciation du Trailblazer Project et réponse du gouvernement
Dans les murs de la NSA

À la fin des années 1990 et au début des années 2000, la NSA souhaite de nouveaux outils pour recueillir des informations des systèmes de communications numériques, comme Internet. Drake participe aux débats de la NSA sur deux outils : le Trailblazer Project et le ThinThread project21,18. Il fait partie d’un groupe, minoritaire, qui préfère le ThinThread project18 parce que, en théorie, il protège le vie privée des citoyens américains même s’il recueille des informations utiles7. Le Trailblazer Project exige des milliards de dollars pour sa mise au point, dépassant de beaucoup les coûts du ThinThread project. À l’usure, Drake « a perdu ses illusions, [tout en] s’indignant »trad 3 des problèmes qu’il observe à l’agence7. Vers l’année 2000, le grand patron de la NSA, le général Michael Hayden, préfère Trailblazer, annulant dans la foulée ThinThread. Le programme Trailblazer prend de l’ampleur, faisant appel aux services d’IBM, SAIC, Boeing, CSC et d’autres sociétés américaines25.

Drake utilise les moyens légaux prescrits pour les employés fédéraux qui croient que des activités illégales se déroulent dans leur département18. Selon les termes des lois accordant protection aux lanceurs d’alerte, telle que l’Intelligence Community Whistleblower Protection Act, Drake se plaint en interne auprès des autorités désignées : à ses supérieurs, à l’Inspector General de la NSA (IG de la NSA), à l’Inspector General du département de la Défense (IG du DoD) et aux deux comités du Congrès des États-Unis chargés de la surveillance des agences de renseignements26. Il échange aussi régulièrement avec Diane Roark (les deux se sont rencontrés la première fois en 20007), salariée du parti républicain auprès de l’United States House Permanent Select Committee on Intelligence18 (dont la tâche principale est de surveiller les activités des agences de renseignement américaines qui font officiellement partie de la communauté du renseignement des États-Unis27). Roark est l’« expert du personnel » pour le budget de la NSA21.

En septembre 2001, Roark et trois anciens cadres de la NSA, William Binney, J. Kirk Wiebe28 et Ed Loomis29, remplissent un rapport à l’intention de l’IG du DoD dénonçant des problèmes à la NSA, notamment le Trailblazer Project7. Drake est la source majeure des informations du rapport (il a d’ailleurs renseigné le DoD pendant l’enquête de ce dernier sur ces problèmes)7. Roark tente d’informer Porter Goss, alors président de l’United States House Permanent Select Committee on Intelligence20. Elle tente d’échanger avec William Rehnquist, le juge en chef des États-Unis7. Également, elle tente d’approcher David Addington, son ancien collègue républicain dans les années 1980 puis conseiller judiciaire du vice-président Dick Cheney à cette époque16. Un article du Washington Post révèle plus tard qu’Addington a rédigé, sur un appareil à l’épreuve de TEMPEST, des documents de nature technique et légale pour encadrer un programme illégal de surveillance de masse autorisé pendant l’ère de George W. Bush30,31,32. Aucun des trois hommes n’a répondu à ses requêtes.

En 2003, l’IG de la NSA7 déclare que le Trailblazer Project est un échec coûteux33. Ses coûts excèdent à ce moment plus de 1 milliard de dollars21,26,34,35. En 2004, l’IG du DoD produit un rapport final sur les enquêtes lancées à la suite des accusations de Roark et d’autres personnes. Pour l’essentiel, le rapport rapporte les mêmes problèmes. Le rapport mentionne que la NSA a été interdite pendant une certaine période de mettre en branle des projets excédant un certain montant de crainte que ce ne soit de l’argent perdu. Au moment de la production du rapport, le DoD n’envisage pas de le rendre public29.

Dans un article du New Yorker paru en 2011, la journaliste Jane Mayer écrit que Drake pensait que la NSA était plus criminelle que l’ancien président américain Richard Nixon. Drake a parcouru les lois sur la divulgation d’informations et a conclu que s’il révélait à un journaliste des informations unclassifiednote 1, le pire qu’il aurait à subir serait d’être renvoyé16.

En novembre 2005, Drake contacte Siobhan Gorman du journal The Baltimore Sun, lui envoyant des courriels sur Hushmail et échangeant sur plusieurs sujets21,18. Il déclare qu’il a pris beaucoup de précautions pour ne pas révéler des informations sensibles ou classifiées (c’est l’une des règles de base qu’il s’est donnée avant d’échanger avec la journaliste). Ces échanges se déroulent en 2005 et 200636. Gorman écrit alors plusieurs articles sur les pertes, fraudes et abus de la NSA, mentionnant aussi le Trailblazer Project. Elle reçoit par la suite un prix de la Society of Professional Journalists pour une série d’articles démontrant les méfaits du gouvernement américain21. Le juge Richard Bennett, de la cour fédérale de district du Maryland, écrit plus tard « qu’il n’y a aucune preuve que le Journaliste A a rédigé des articles en s’appuyant sur des informations prétendument classifiées découvertes dans la maison de M. Drake »trad 4,37.

En juillet 2007, des agents armés du FBI font des descentes dans les résidences de Roark, Binney et Wiebe, qui se sont plaints en 2002 auprès de l’IG du DoD29. Binney déclare par la suite que des agents ont menacé d’une arme sa femme et lui-même. Ça lui a rappelé l’Union soviétique16. Aucun des trois n’a été accusé. En novembre 2007, des agents du FBI font une descente dans la maison de Drake. Ses ordinateurs, des documents et des livres ont été saisis. Il n’a jamais été accusé d’avoir transmis des informations sensibles à qui que ce soit ; il a été accusé d’avoir « retenu »trad 5 des informationsnote 2,15. Le FBI demande à Roark de témoigner contre Drake, mais elle refuse16. Le FBI n’a jamais contacté la journaliste Gorman7,18.

Dans un premier temps, Drake collabore à l’enquête, déclarant au FBI les prétendues activités illégales de la NSA16. Le procureur Steven Tyrrell rédige entretemps une « ébauche de mise en accusation »trad 6 contre Drake. Elle comprend entre autres l’accusation « d’avoir révélé des informations classifiées à un journaliste dans le but de conspirer »trad 7. Roark, Binney, Wiebe et Loomis (l’un des plaignants auprès de l’IG du DoD en 2002) auraient également été listés comme « co-conspirateurs non-accusés »trad 8,29. En 2009, le procureur William Welch II se penche sur le dossier7,16 et modifie la mise en accusation. Des accusations ont été supprimées ainsi que le nom des co-conspirateurs. Les accusations restantes ne visent plus que Drake29.

Les procureurs veulent que Drake plaide coupable mais il refuse car il se croit innocent des accusations7. Le gouvernement recherche sa collaboration dans les accusations contre les autres lanceurs d’alerte, ce qu’il refuse également16. Il s’explique lorsqu’il reçoit le prix Ridenhour de la vérité en 2011 :

    « J’ai fait ce que j’ai fait parce que je crois sincèrement que mon devoir est envers le peuple américain […] Je savais que nous ne devions pas espionner les Américains et que nous devons rendre des comptes lorsque nous dépensons l’argent des contribuables américainstrad 9,2. »

Accusations

En avril 2010, Drake est accusé par un grand jury de Baltimore, au Maryland, de8,17,19,14 :

    rétention volontaire d’information sur la Défense nationaletrad 10,note 2 (5 fois)
    obstruction à la Justicetrad 11,note 2 (1 fois)
    fausse déclarationtrad 12,note 2 (4 fois)

L’inculpation comprend plusieurs autres allégations ; la plupart ne sont pas directement liées aux accusations contre lui. Le document ne l’accuse pas explicitement d’avoir révélé, sans autorisation, des informations classifiées ; il n’a pas aussi été accusé en vertu de la clause 18 U.S.C. § 798 du U. S. Code (qui porte sur le SIGINT)38. L’inculpation détaille ses échanges avec Roark et Gorman, mais ne l’accuse pas explicitement pour ces communications14. Les noms de Gorman et Roark n’apparaissent pas dans le document, mais des journalistes ont confirmé ces noms8,21. L’avocat de Roark a soutenu que l’inculpation comprend une « caractérisation erronée des faits » sur la relation de Roark et Drake21. Plus tard, Roark plaidera en faveur de Drake et des autres lanceurs d’alerte du Trailblazer Project16.

Les accusations de « rétention volontaire » portaient sur cinq documents découverts dans la résidence de Drake et prétendûment « liés à la défense nationale »trad 13. Les cinq documents étaient respectivement appelés : « What a Success »39, « The Regular Meetings », « Volume is our Friend », « Trial and Testing » et « Collections Sites »40. What a Success sera déclassifié quelques mois après que Drake soit inculpé. Selon une plainte officielle déposée par J. William Leonard, ancien directeur de l’Information Security Oversight Office, il n’aurait jamais dû être classifié41. Regular Meetings était marqué « UNCLASSIFIED » et publié sur NSANet (un intranet de la NSA), mais la poursuite a argué que le défendeur aurait dû savoir que le document était classifié. Plus tard, la défense de Drake a argué que les trois derniers documents se trouvaient parmi des milliers de documents qui n’étaient pas classifiés et son avocat a plaidé que Drake avait apporté de façon accidentelle, et non pas volontaire, les cinq documents à la maison42.

L’accusation d’obstruction visait la suppression alléguée de documents par Drake alors qu’il savait que le FBI enquêtait sur des fuites dans les médias et que le FBI envisageait de rechercher les sources du journaliste Siobhan Gorman14. L’accusation de fausse déclaration était incluse parce que Drake avait dans un premier temps répondu aux questions du FBI sans la présence de son avocat. Selon l’une des fausses déclarations, il aurait emporté chez lui certains documents. Une autre fausse déclaration avançait qu’il aurait volontairement omis de dire qu’il avait transmis des documents classifiés à Gorman19,16. La défense de Drake a souligné que même l’expert du gouvernement a déclaré que Drake n’avait pas détruit quelque preuve que ce soit. Elle a aussi précisé que Drake agissait prudemment et n’a jamais transmis d’information classifiée à Gorman ; plusieurs des documents en question ont été « rétroactivement classifiés »trad 14 une fois que le FBI les a saisis chez lui16,43.

Les bureaux fédéraux qui participent à la mise en accusation sont la Public Integrity Section du DoJ, la Criminal Division du DoJ, la National Security Division du DoJ, le FBI et l’Office of Security & Counterintelligence de la NSA19. Drake est représenté par James Wyda et Deborah Boardman, deux public defenders (des avocats assignés par le gouvernement fédéral lorsqu’une personne ne peut couvrir les frais juridiques)20,44. Drake, en tant que client du Government Accountability Project (GAP), un organisme de défense des lanceurs d’alerte, est conseillé par Jesselyn Radack. L’écrivain James Bamford, spécialiste de la NSA, agit à titre de consultant auprès des défendeurs45,46.

Le procureur du gouvernement, William Welch II, accusé d’outrage au tribunal et démis de ses fonctions lors du procès du sénateur Ted Stevens (qui est accusé de corruption ; le procès est arrêté pour vice de procédure47), sert dans un premier temps de conseiller senior en litiges (Senior Litigation Counsel)48,49. John P. Pearson, de la Public Integrity Section du DoJ, officie en tant qu’avocat de procès (Trial Attorney) du gouvernement, alors que Lanny A. Breuer est chargé de la supervision de la poursuite16. Le juge fédéral Richard D. Bennett supervise les audiences et est responsable du dossier. Il fixe le procès à juin 201150,51.

La poursuite judiciaire contre Drake a été couverte par The Washington Post, The New York Times, Agence France-Presse, Newsweek, Wired, The Washingtonian.com, Secrecy News de la Federation of American Scientists, Politico et d’autres périodiquesnote 3. Jesselyn Radack, en tant que représentante du GAP, a aussi présenté des aspects de cette affaire52.

Le gouvernement fédéral américain a déclaré que la poursuite contre Thomas Drake ne visait pas à interdire aux fonctionnaires de rapporter des problèmes. Un porte-parole du DoJ a déclaré : « Les lanceurs d’alerte sont essentiels dans de nombreuses, nombreuses enquêtes des départements. Nous n’usons pas de représailles contre eux, nous les soutenons. […] Cette poursuite a été lancée sur le fond, et rien d’autretrad 15,53. »
Poursuite judiciaire

Au printemps 2011, des observateurs rapportent que les représentants du gouvernement ont agi pour restreindre l’accès public au procès, lequel est habituellement autorisé aux États-Unis. Ils ont agi selon les termes de la Classified Information Procedures Act (CIPA) qui vise à réduire la diffusion d’informations classifiées pendant les procès publics. Les procureurs ont aussi demandé l’application de la règle du témoin silencieux (les témoins doivent substituer certains termes par d’autres lorsqu’il s’agit de sujets sensibles). Le gouvernement fédéral américain n’utilise qu’occasionnellement cette règle ; sa légalité a été contestée en regard des cinquième et sixième amendements de la Constitution des États-Unis54. Le gouvernement a aussi déposé une pétition pour restreindre les contre-interrogatoires des témoins55 dans le but d’empêcher les jurés de parcourir les articles du journaliste Siobhan Gorman, parus dans le journal Baltimore Sun, sur la NSA et le Trailblazer Project56 et dans le but d’empêcher la défense d’argumenter ou d’introduire des preuves sur la dénonciation par les lanceurs d’alerte et sur l’excès de classification57. Par ailleurs, la poursuite a transmis à la cour des pièces à conviction sous scellés, pièces que la défense avaient déjà déposées51,58. La poursuite a argué que la CIPA s’appliquait aussi aux documents qui n’étaient pas classifiés et a demandé à la cour de n’utiliser que des documents caviardés59.

Selon le gouvernement fédéral américain, les articles du journaliste Siobhan Gorman parus dans le journal The Baltimore Sun portaient préjudice. « Le seul objectif de l’admission de ces articles de journaux était d’amener la NSA en courtrad 16. » Les procureurs ont aussi déclaré que la poursuite n’avait aucune obligation légale, selon l’Espionage Act of 1917note 2, de démontrer que l’intention de Drake était d’attenter à la sécurité nationale. En ce qui a trait à l’excès de classification invoquée par la défense, le gouvernement a répliqué que cette revendication rendrait confus le jury et n’était donc pas pertinente en ce qui concerne les accusations60. Le gouvernement a aussi argué que n’importe quel débat lors du procès sur la définition du concept légal de l’action d’alerter ne serait probablement qu’un échange sans intérêt vis-à-vis les accusations.

Au début juillet, peu de temps après la diffusion d’un épisode de 60 Minutes — le 22 mai 2011 — sur Thomas Drake, le gouvernement abandonne toutes les charges contre Drake et renonce à demander une peine de prison en contre-partie d’un aveu de culpabilité pour abus d’utilisation des systèmes informatiques de la NSA, crime couvert par la Computer Fraud and Abuse Act.

Drake est condamné à un an de probation et du travail communautaire61. Lorsqu’il prononce la sentence, le juge Richard D. Bennett déclare que le gouvernement a été « déraisonnable »trad 17 d’accuser une personne de crimes graves pouvant lui valoir 35 ans de prison, car la poursuite a abandonné toutes les charges importantes à la veille du procès61. Le juge a aussi rejeté la demande d’une grosse amende, faisant observer que Drake est financièrement dévasté à la suite du montant à verser aux avocats (82 000 US$), ainsi que de la perte de son fonds de pension et de son salaire annuel de 150 000 US$61.
2012 et après

Drake apparaît dans un épisode du Daily Show, le 6 août 2012, pour échanger sur ses épreuves62. En septembre, il envoie un message audio pour signifier son appui au CryptoParty63. La même année, il reçoit le Hugh M. Hefner First Amendment Award pour souligner sa protection du premier amendement de la Constitution des États-Unis64. Le 15 mars 2013, il prononce un discours devant le National Press Club sur la communauté du renseignement américaine et son attitude envers les lanceurs d’alerte65.

Edward Snowden suit l’exemple de Drake lorsqu’il fuite des informations sur les programmes de surveillance de la NSA66. Snowden préfère dénoncer publiquement plutôt que de passer par les canaux prévus par la loi à cause des représailles que Drake et d’autres lanceurs d’alerte ont subi. Son geste inspire John Crane, adjoint de l’IG du DoD chargé d’accompagner les lanceurs d’alerte, à devenir lanceur d’alerte lorsqu’il observe que l’IG du DoD a transmis illégalement l’identité de Drake au département de la Justice des États-Unis (DoJ)67.

Après 2012, Drake commence à militer contre la surveillance massive de l’État (surveillance State), prononçant régulièrement des conférences et se prêtant aussi à des entrevues68. L’un des thèmes récurrents, surnommé « privacy exercise », commence ainsi : « Mettez votre existence complète dans une boîte — vos documents, vos comptes de banque, vos mots de passe, tout —, et donnez-la à un étranger — un compatriote américain — pour qu’il la garde en sécurité. Le feriez-vous ? »trad 18 Il affirme que personne n’a encore répondu oui69.

Lors d’une entrevue en septembre 2013, Drake revient encore sur les problèmes de la NSA, déclarant qu’ils sont chroniques et systémiques ; pour lui, il faut la démanteler puis la reconstruire complètement70. Le 3 juillet 2014, Drake et William Binney, ancien directeur technique de la NSA, témoignent devant le comité parlementaire allemand qui enquête sur les écoutes électroniques de la NSA visant les hommes et femmes politiques allemands. Il décrit les liens étroits de la NSA et du BND, un service secret allemand71,72. Le 10 novembre 2015, il apparaît sur un panel commandé par le PEN American Center ; le thème portait sur les « sources secrètes »73.

Dans toute l’histoire des États-Unis, seules quatre personnes ont été poursuivies par le gouvernement fédéral américain pour « rétention volontaire d’information sur la Défense nationale »trad 19,note 2. La plupart des poursuites portent sur la « transmission »trad 20 de documents classifiés à des tierces parties, ce dont Drake n’a jamais été accusé. Cette clause de l’Espionage Act of 1917 a été ajoutée en 1950 à l’époque du maccarthysme, en tant que partie du McCarran Internal Security Act26. Anthony Russo et Daniel Ellsberg sont les premiers à être accusés de rétention volontaire dans le cadre de l’affaire des Pentagon Papers, qu’Ellsberg a transmis au New York Times, affaire qui a mené à une poursuite judiciaire en 1971 qui fait date aux États-Unis : New York Times Co. v. United States. Au terme de ce procès, la cour reconnaît entre autres le droit des médias de publier des informations sensibles. Les accusations contre Russo et Ellsberg ont été rejetées en 1972 à cause de l’inconduite du gouvernement fédéral. La seconde poursuite commence en 1985 contre Samuel Loring Morison, un analyste de l’US Navy qui a vendu des photos satellites à Jane’s Defence Weekly ; il recevra la grâce présidentielle. La troisième poursuite, lancée en 2005, vise deux employés du lobby pro-Israël American Israel Public Affairs Committee et un employé du département de la Défense (DoD) : United States v. Franklin, Rosen, and Weissman. Seul l’employé du DoD a été condamné8.
Dans la culture

Thomas Drake apparaît dans le documentaire Silenced (2014)74,75 mis en nomination pour un Emmy Award en 2016. Explorant un thème semblable à Citizenfour, qui montre entre autres les actions entreprises à l’encontre d’Edward Snowden, Silenced a été sélectionné par plusieurs festivals de cinéma et a reçu plusieurs prix76, avant d’être diffusé sur plusieurs réseaux de télévision câblée en mars 2015.

Toujours en 2014, la participation de Drake au programme Thinthread, les accusations ultérieures, la collaboration d’autres personnes (Roark, Binney, Wiebe et Loomis) et Edward Snowden sont les principaux sujets abordés dans le documentaire de PBS : United States of Secrets77.

Drake apparaît à plusieurs reprises dans le documentaire Nothing to Hide (2016), qui se penche sur la surveillance de masse et la vie privée sur Internet (en)78.

REF.: https://fr.wikipedia.org/wiki/Thomas_Drake

 

mardi 13 août 2019

NSA: Avoir les bonnes autorisations pour traiter des documents secrets a la maison ?




NSA: Avoir les bonnes autorisations pour traiter des documents secrets a la maison ?

 

Le sous-traitant qui avait volé 50 To de données à la NSA condamné à neuf ans de prison

Technologie : Les procureurs n'ont cependant jamais réussi à prouver que l'ancien entrepreneur qui travaillait pour la NSA était à l'origine de la fuite de Shadow Brokers.


Harold Thomas Martin III, un ancien prestataire travaillant pour l'Agence nationale de sécurité américaine a été accusé et a par la suite plaidé coupable d'avoir volé plus de 50 To de données de la NSA. Il a été condamné à neuf ans de prison.

Harold Martin a été arrêté en octobre 2016 après que le FBI eut perquisitionné son domicile et trouvé des documents qu'il ramenait chez lui depuis des années, sans autorisation. Des fichiers ont été trouvés sur son ordinateur et dans sa voiture.

Certains de ces documents portaient la mention "très secret" et contenaient des renseignements sur l'infrastructure et les outils de la NSA, mais il y avait aussi des documents sur la Central Intelligence Agency (CIA), le US Cyber Command, et le National Reconnaissance Office (NRO).
 
 


Rien ne prouve que Martin ait partagé les dossiers

Martin a travaillé comme entrepreneur pour diverses agences gouvernementales américaines pendant 20 ans, entre 1996 et 2016. Au moment de son arrestation, il travaillait pour Booz Allen Hamilton, la même entreprise où Edward Snowden avait travaillé.

Il avait des autorisations qui lui permettait de traiter des documents et des dossiers sensibles du gouvernement, mais seulement au travail, et non à la maison.

Les procureurs ont décrit la planque de documents gouvernementaux découverts chez Martin comme étant d'une ampleur "époustouflante". Les avocats de Martin ont dit qu'il n'emportait des documents qu'à la maison pour étudier et devenir meilleur dans son travail et non dans l'intention de vendre des secrets d'État.

Aucun lien avec Shadow Brokers n'a jamais été prouvé

Au moment de son arrestation, le Washington Post a rapporté que Martin était le principal suspect dans l'enquête du gouvernement sur les Shadow Brokers, un groupe de pirates informatiques qui ont commencé à divulguer des fichiers NSA et des outils de piratage sur Internet à l'été 2016.

Dans un autre article, le New York Times a suggéré que Martin faisait l'objet d'une enquête pour avoir divulgué des documents à WikiLeaks.

Les autorités américaines ont inculpé Martin en février 2017 et il a signé un plaidoyer de culpabilité en mars 2019. Les procureurs n'ont jamais prouvé que Martin avait des liens avec les Shadow Brokers ou WikiLeaks. Martin a signé un accord de plaidoyer admettant sa culpabilité. Dans le cadre du plaidoyer de culpabilité, les procureurs ont déclaré qu'ils ne demanderaient pas plus de sept ans de prison.

Le juge n'était pas lié par le plaidoyer de culpabilité et a condamné Martin à neuf ans de prison, y compris la durée de la peine, et à trois ans de libération sous surveillance. Martin a 54 ans.

REF.: Article "Contractor who stole 50TB of NSA data gets nine years in prison" traduit et adapté par ZDNet.fr

mardi 21 août 2018

CSTC(le Centre de la Sécurité des Télécommunications) : Le Service canadien de renseignement (SCRS) est exclus des Fives Eyes !

CSTC(le Centre de la Sécurité des Télécommunications) : Le Service canadien de renseignement (SCRS) est exclus des Fives Eyes !


Fives Eyes, CSTC, SCRS, NSA, Edward Snowden

 La principale agence récupérant nos données personnelles se nomme le Centre de la sécurité des télécommunications Canada (CSTC), que le Globe and Mail décrit comme une « agence de surveillance électronique canadienne ultra-secrète ».
 

 



Le Service canadien de renseignement (SCRS) ne peut pas espionner à l'étranger sans mandat judiciaire, à moins que la sécurité nationale soit clairement en jeu, selon un jugement rendu par la Cour fédérale du Canada.
La puissante agence demandait l'obtention d'un mandat pour "prête(r) son assistance à la collecte d'informations ou de renseignements sur les moyens, les intentions ou les activités d'un État étranger", non précisé, indique un résumé de l'affaire publié par la Cour fédérale et consulté vendredi par l'AFP.
La demande du SCRS a été rejetée. "Je n'ai pas la permission de délivrer un mandat autorisant des activités extraterritoriales puisque le législateur ne m'a clairement pas donné ce pouvoir en matière de mandat", a écrit le juge Simon Noël dans sa décision de mercredi, disponible en ligne mais lourdement censurée.


Il s'agit du deuxième rappel à l'ordre adressé au SCRS en moins de trois ans par la Cour fédérale. En novembre 2016, l'agence avait été reconnue coupable d'avoir mené une collecte "excessive" de données des citoyens, sans lien avec une menace précise à la sécurité nationale.
Le Canada forme, avec les Etats-Unis, le Royaume-Uni, l'Australie et la Nouvelle-Zélande, le groupe des "Five Eyes", une alliance de services de renseignement dont la puissance a notamment été mise en lumière par les révélations de l'ancien analyste de la NSA, Edward Snowden.


REF.:

vendredi 19 janvier 2018

Memex: Le moteur de recherche qui explore le Dark Web




HIGH-TECH L’outil surpuissant de l’armée américaine peut traquer les criminels sur la face cachée de la Toile…

Memex réservé dans un premier temps aux autorités
Pour le moment, seul le département de la Défense américain peut utiliser Memex. L’outil a par exemple été utilisé pour démanteler un vaste réseau de trafiquants d’êtres humains il y a quelques mois grâce à la capacité de l’outil pour sonder le Deep Web.



La Big Data, l'analyse de données informatiques à très grande échelle grâce à des outils spécialisés, "est un enjeu majeur pour la pub et le marketing" chiffré en dizaines de milliards d'euros dans les 2 ou 3 prochaines décennies — Jonathan Nackstrand AFP
Cette nouvelle arme a permis aux autorités américaines de démanteler un réseau de prostitution. Memex, le moteur de recherche développé et présenté en février par la Darpa, la branche de l'armée américaine spécialisée dans les réseaux, est utilisé depuis plus d’un an par les forces de l’ordre des Etats-Unis pour traquer toutes sortes de criminels. Ce moteur de recherche a la particularité d’explorer les tréfonds de la Toile.

Le Web invisible, terrain de jeu des criminels

 «Certains estiment que Google, Microsoft et Yahoo ne nous donnent accès qu'à 5% du contenu du Web», explique Chris White, ingénieur de la Darpa, dans une interview accordée à la chaîne américaine CBS. Memex inspecte la partie invisible de la Toile, appelée le «Deep Web», plus vaste encore que ce que des moteurs comme Google explorent.
Ce Web «invisible» contient les pages non indexées par les moteurs, comme des pages  éphémères, à faible trafic, ou des pages protégées par un logiciel spécifique, comme les réseaux  anonymes Tor, connu notamment par les pirates. Ces pages sont un des principaux outils des différents réseaux criminels qui auraient ainsi publié pas moins 60 millions de pages ces deux dernières années, selon la Darpa.
Memex est capable d'indexer ce Web invisible pour aider les enquêtes dans les activités illégales trafic de drogue, de prostitution ou encore de pédophilie. Il peut aussi comprendre les liens entre les différentes pages et présenter les informations obtenues sous formes de graphiques, cartes, frises, etc.
«Il s'agit d'un bel exemple de la manière dont le Big Data peut aider à protéger les personnes vulnérables», estime Barack Obama dans le cadre de son rapport sur le Big Data, publié en janvier.

Et la protection des données personnelles?

Memex est actuellement au service de l’armée, mais ses applications pourraient également aider le secteur de la santé, en repérant par exemple précisément l’évolution géographique d’une épidémie. De belles perspectives, mais aussi de plus sombres.
La Darpa précise que ce nouveau moteur de recherche ultra-puissant n'a pas l'intention de collecter des données  personnelles. Il en est cependant potentiellement capable. N’oublions pas le scandale du programme de surveillance Prism, révélé par Edward Snowden.


REF.:

vendredi 5 janvier 2018

Haven,transforme votre ancien appareil Android en un moniteur de sécurité furtif



La nouvelle application d'Edward Snowden transforme votre ancien appareil Android en un moniteur de sécurité furtif
Si vous avez un vieux appareil Android qui traîne et une raison de s'inquiéter des gens qui jouent avec votre entreprise, Edward Snowden a une application pour cela.
Haven est un projet open-source que Snowden a développé en collaboration avec la Fondation pour la liberté de la presse et le projet Guardian. Vous pouvez trouver les directions et les liens pour le téléchargement et l'installation sur la page Github de cette organisation.
VOIR AUSSI: Edward Snowden et les groupes de défense des droits de l'homme critiquent le projet de loi de la NSA qui se précipite à travers le Congrès
Ce n'est pas votre application de sécurité typique.
Haven ne verrouille pas un seul appareil ou n'empêche pas la falsification; au lieu de cela, il réutilise un appareil Android - un ancien, inutilisé, de préférence - et, en utilisant un assortiment de capteurs intégrés, le transforme en un gadget de sécurité multifonctionnel.
Ces capteurs incluent l'accéléromètre, l'appareil photo, le microphone, le capteur de lumière de votre smartphone Android ou de votre tablette, ainsi que la capacité de détecter si une alimentation électrique est branchée ou retirée. L'application surveille chacun pour les changements mesurables et enregistre toute activité dans un journal des événements.
Ce journal des événements est ensuite accessible via le service Tor Onion, qui permet aux utilisateurs de communiquer anonymement sur des réseaux informatiques. L'application peut également envoyer des notifications d'alerte via SMS ou l'application de messagerie sécurisée, Signal.
Mettre l'application au travail nécessite un peu de réflexion en dehors de la boîte. Vous pouvez l'utiliser pour, disons, surveiller une pièce pour le mouvement - ou même comme un moniteur de bébé. Vous pouvez également le laisser sur le dessus de quelque chose que vous voulez garder en sécurité, comme un ordinateur portable. Il n'empêchera pas les intrus de pénétrer ou d'empêcher la falsification, mais il utilisera les différents capteurs de l'app portant l'appareil pour enregistrer ce qui se passe.
Haven ne fonctionne qu'avec les appareils Android pour le moment. Le site web du projet note que le support iOS est un espoir pour l'avenir, mais pour le moment, le mieux que vous pouvez faire est d'utiliser votre appareil Apple pour recevoir des alertes de l'application.
Mettre tout cela en place - et même simplement comprendre ce qui différencie les logiciels tels que Signal ou Tor - nécessite un certain savoir-faire technique. La page Github ci-dessus est un bon point de départ, mais cela pourrait valoir la peine de passer un peu de temps sur Google avant de donner un coup de feu à Haven si cela vous semble non familier.


REF.:

NSA a cassé le cryptage sur les applications de partage de fichiers Kazaa , eDonkey...




Avant que les services comme Spotify et Netflix ne prolifèrent, les personnes qui voulaient écouter de la musique ou regarder des films en ligne, à la demande, avaient peu d'options légales. Au lieu de cela, ils téléchargeraient des copies de médias piratés en utilisant la technologie de partage de fichiers P2P. Au début de 2004, on estimait que près de 8 millions de personnes aux États-Unis avaient téléchargé de la musique par le biais d'applications dites «peer-to-peer» telles que LimeWire, eDonkey, Kazaa et BitTorrent. Bien qu'il soit difficile de mesurer exactement la part du trafic Internet mondial qui consiste à échanger des fichiers, à l'époque, certaines estimations indiquaient qu'il approchait les 40%. (Il était plus proche de 11% d'ici 2016, selon une autre estimation.)Avec ce partage de fichiers beaucoup se produire en ligne, il n'est pas surprenant que l'Agence de sécurité nationale a pris note. Selon les documents fournis par le lanceur d'alerte de la NSA, Edward Snowden, l'agence d'espionnage a formé un groupe de recherche dédié à l'étude du trafic internet peer-to-peer, ou P2P. Selon un article paru en 2005 sur l'un des sites d'information internes de l'agence, SIDtoday, la NSA se fichait des violations de la loi sur le copyright. Il essayait de déterminer s'il pouvait trouver des renseignements précieux en surveillant de telles activités.«En effectuant une recherche dans nos bases de données, il est clair que de nombreuses cibles utilisent des applications de partage de fichiers populaires», écrit un chercheur du module d'analyse de partage de fichiers et d'évaluation de vulnérabilité de la NSA dans un article SIDtoday. "Mais s'ils ne font que partager la dernière version de leur pop star préférée, ce trafic est d'une valeur douteuse (sans vouloir offenser Britney Spears)."Afin de surveiller les réseaux poste à poste, le NSA devait à la fois décoder les protocoles utilisés par les différents services et, dans certains cas, briser le cryptage pour voir quels fichiers étaient échangés. Ce dernier obstacle a été éclairci dans au moins deux cas. «Nous avons développé la capacité de déchiffrer et de décoder le trafic Kazaa et eDonkey afin de déterminer quels fichiers sont partagés et quelles requêtes sont effectuées», a écrit le chercheur.La NSA a développé des moyens d'exploiter Kazaa afin d'extraire les informations des entrées de registre stockées sur un ordinateur, notamment les adresses e-mail, les codes pays, les noms des utilisateurs, l'emplacement des fichiers téléchargés et une liste de recherches récentes. " selon l'article. Et, bien que l'auteur n'entre pas dans les détails, ils déclarent qu'ils "ont découvert que nos cibles utilisent les systèmes P2P pour rechercher et partager des fichiers qui sont pour le moins quelque peu surprenants, pas simplement des fichiers de musique et de films inoffensifs".Kazaa n'est plus utilisé et son site web a été fermé en 2012.Le réseau eDonkey, cependant, est toujours actif, bien que le système ne soit pas aussi populaire qu'autrefois. EDonkey utilise toujours le même chiffrement vulnérable qu'il a fait en 2004. EMule, un programme populaire de connexion au réseau eDonkey, n'a pas eu de mise à jour depuis plus de sept ans.Un représentant de l'équipe de développeurs d'eMule a déclaré à The Intercept que la sécurité n'était jamais un objectif pour le chiffrement d'eDonkey. "EMule appelle son cryptage de protocole 'obfuscation' plutôt que le cryptage", a déclaré le développeur. "C'était une fonctionnalité destinée à empêcher les fournisseurs de services Internet et les routeurs locaux d'étrangler le protocole en procédant à de simples inspections approfondies des paquets, et non pas en vue de protéger principalement la communication contre l'écoute indiscrète.""Il ne fait aucun doute que la NSA pourrait espionner le trafic si elle le souhaitait", a ajouté le développeur, "empêcher que cela ne soit pas le but du cryptage du protocole (et pas vraiment un problème à l'époque où cette fonctionnalité était codé). "Les chercheurs du FAVA Pod de la NSA n'étaient pas les seuls à s'intéresser à la technologie peer-to-peer. Un programme de la NSA appelé GRIMPLATE a été développé pour étudier comment les employés du ministère de la Défense utilisaient BitTorrent, découvrir si cette utilisation était malveillante, et potentiellement construire un cas pour mettre fin à une telle utilisation. Selon une présentation classifiée de l'édition 2012 de la conférence annuelle SIGDEV de la NSA, qui vise à développer de nouvelles sources d'intelligence électromagnétique, "les sessions BitTorrent sont vues quotidiennement entre les hôtes NIPRnet", en référence aux ordinateurs du réseau DOD. information non classifiée », et [dans] l'espace de l'adversaire», c'est-à-dire en dehors des réseaux gérés par des cibles américaines comme la Russie et la Chine.En 2010, l'agence britannique d'écoute électronique, Government Communications Headquarters, était également intéressée par «une recherche active sur l'exploitation P2P», selon une page sur un wiki interne du GCHQ. La page décrit DIRTY RAT, une application web du GCHQ utilisée par les analystes qui à l'époque avait "la capacité d'identifier les utilisateurs partageant / téléchargeant des fichiers d'intérêt sur les réseaux eMule (Kademlia) et BitTorrent. ... Par exemple, nous pouvons indiquer qui (adresse IP et ID utilisateur) partage des fichiers avec 'jihad' dans le nom de fichier sur eMule. S'il y a une nouvelle publication d'un magazine extrémiste, nous pouvons indiquer qui partage ce fichier unique sur les réseaux eMule et BitTorrent. "Comme si vous téléchargez
The Anarchist Cookbook ,vous serez pisté.(Le Livre de recettes anarchistes), rédigé comme manifeste contre le gouvernement des États-Unis et la guerre du Viet Nam, est un livre de l'écrivain américain William Powell (en) publié en 1971. Le livre contient des recettes et des instructions pour la fabrication d'explosifs, de drogues et d'un certain nombre d'appareils de télécommunications. Il traite aussi de méthodes pour tuer quelqu'un à main nues et d'autres thèmes controversés. En dépit du nom, le livre n'a aucun lien avec le mouvement anarchiste, et est critiqué par beaucoup d'anarchistes.

L'article wiki fait également allusion à l'information
partage avec les forces de l'ordre. "DIRTY RAT sera bientôt livré à la [London] Metropolitan Police et nous sommes aux premiers stades des relations avec [U.K. L'agence de protection de l'enfance] CEOP et le FBI », a-t-il déclaré. Le GCHQ a également développé la technologie pour tirer parti de son monitoring peer-to-peer pour les attaques actives contre les utilisateurs de réseaux de partage de fichiers. Un outil appelé PLAGUE RAT "a la capacité de modifier les résultats de recherche d'eMule et de fournir un contenu personnalisé à une cible", indique l'article du wiki. "Cette capacité a été testée avec succès sur Internet contre nous-mêmes et les tests contre une cible réelle sont poursuivis." La NSA a refusé de commenter. Le GCHQ n'a pas répondu à des questions précises et a déclaré: «Tout le travail du GCHQ est effectué conformément à un cadre légal et politique strict, qui garantit que nos activités sont autorisées, nécessaires et proportionnées, et qu'il y a une surveillance rigoureuse, y compris du Secrétariat d'État, du Bureau du Commissaire aux enquêtes (IPCO) et du Comité parlementaire du renseignement et de la sécurité. Tous nos processus opérationnels soutiennent rigoureusement cette position. En outre, le régime d'interception du Royaume-Uni est entièrement compatible avec la Convention européenne des droits de l'homme. »D'autres histoires et documents NSA publiés aujourd'hui par The Intercept sont disponibles sur notre page d'accueil SIDtoday.

REF.:

Les Archives Snowden




--Le SidTodayLes dossiers:
SIDtoday est le bulletin interne de la division la plus importante de la NSA, la Direction du renseignement sur les transmissions. Après un examen de la rédaction, The Intercept publie des bulletins d'information de neuf ans, en commençant par 2003. Les espions de l'agence expliquent de façon surprenante ce qu'ils faisaient, comment ils le faisaient et pourquoi.
Les fichiers SIDtoday est l'endroit où The Intercept publiera des articles de SIDtoday, une publication interne de la National Security Agency. Les articles sont rédigés dans un langage accessible et non technique et offrent une fenêtre sur la culture et les opérations de la NSA. Ils proviennent de la Direction des renseignements sur les transmissions, ou SID, la principale division d'espionnage de la NSA, et ont été fournis par le dénonciateur Edward Snowden.
 
 

 
 

Nous publierons ces fichiers en grand nombre, en commençant par les articles de la période suivant la création de SIDtoday en mars 2003. Les articles feront l'objet d'une évaluation éditoriale, d'un examen juridique, de recherches, de rapports et d'expurgations décrits dans cet aperçu. Ils seront accompagnés d'articles d'actualité sur Intercept, le cas échéant.
Bien que nous nous concentrions sur les parties de ces documents que nous trouvons les plus convaincantes, nous prévoyons que les lecteurs trouveront d'autres informations d'intérêt dans les fichiers que nous partageons. Si vous voyez quelque chose d'intéressant que vous aimeriez partager avec nous, veuillez nous contacter comme décrit ci-dessous.



REF.:

samedi 24 juin 2017

Athena, le malware qui permet à la CIA d'espionner tous les Windows

Révélée par WikiLeaks, cette plate-forme de malwares est capable de cibler tous les PC, de Windows XP à Windows 10. Elle a été développée par une société privée pour le compte de la CIA.

vendredi 10 mars 2017

Vault 7: Outils de piratage de la CIA révélés

 Surveillance et renseignement:
  • Vault7: plus de 8 000 documents détaillants les outils de hacking de la CIA sont révélés par Wikileaks. Le .torrent est ici; la phrase de passe pour la décompression est ici. de 912 Mo.



Communiqué de presseAujourd'hui, mardi 7 mars 2017, WikiLeaks commence sa nouvelle série de fuites sur la Central Intelligence Agency des États-Unis. Code-nommé "Vault 7" par WikiLeaks, c'est la plus grande publication de documents confidentiels sur l'agence.La première partie intégrale de la série, «Year Zero», comprend 8 761 documents et fichiers d'un réseau isolé de haute sécurité situé à l'intérieur du Centre Cyber ​​Intelligence de la CIA à Langley, Virgina. Il s'ensuit une divulgation introductive le mois dernier de la CIA ciblant les partis politiques et les candidats français avant la tenue de l'élection présidentielle de 2012.Récemment, la CIA a perdu le contrôle de la majorité de son arsenal de piratage, y compris les logiciels malveillants, les virus, les chevaux de Troie, les exploits «zéro jour» armés, les systèmes de contrôle à distance des logiciels malveillants et la documentation associée. Cette collection extraordinaire, qui s'élève à plus de plusieurs centaines de millions de lignes de code, donne à son possesseur toute la capacité de piratage de la CIA. Les archives semblent avoir été diffusées entre les anciens pirates et entrepreneurs du gouvernement des États-Unis d'une manière non autorisée, l'un d'entre eux ayant fourni à WikiLeaks des portions de l'archive."Year Zero" présente l'étendue et la direction du programme de hacking global de la CIA, de son arsenal de logiciels malveillants et de dizaines d'exploits "zéro jour" contre une large gamme de produits américains et européens. Même les téléviseurs Samsung, qui sont transformés en microphones dissimulés.Depuis 2001, la CIA a gagné une prééminence politique et budgétaire par rapport à l'Agence de sécurité nationale des États-Unis (NSA). La CIA s'est trouvée construire non seulement sa flotte de drones maintenant infâme, mais un type très différent de la force secrète, globe-couvrant - sa propre flotte importante de pirates. La division de piratage de l'agence l'a libérée d'avoir à divulguer ses opérations souvent controversées à la NSA (son principal rival bureaucratique) afin de tirer parti des capacités de piratage de la NSA.À la fin de 2016, la division de piratage informatique de la CIA, formellement rattachée au Centre pour le cyberespace (CCI) de l'agence, comptait plus de 5000 utilisateurs enregistrés et avait produit plus de mille systèmes de piratage informatique, chevaux de Troie, virus et autres logiciels malveillants . Telle est l'ampleur de l'engagement de la CIA que d'ici 2016, ses pirates avaient utilisé plus de code que celui utilisé pour exécuter Facebook. La CIA avait en fait créé sa propre «NSA» avec encore moins de responsabilité et sans répondre publiquement à la question de savoir si une telle dépense budgétaire massive pour dupliquer les capacités d'une agence concurrente pourrait être justifiée.Dans une déclaration à WikiLeaks, la source précise les questions de politique qui, selon eux, doivent être débattues en public, y compris si les capacités de piratage de la CIA dépassent ses pouvoirs autorisés et le problème de la surveillance publique de l'agence. La source souhaite initier un débat public sur la sécurité, la création, l'utilisation, la prolifération et le contrôle démocratique des cyber-armes.Une fois qu'une seule «arme» cybertique est «lâche», elle peut se répandre dans le monde en quelques secondes, pour être utilisée par les États rivaux, la mafia cybernétique et les hackers adolescents.Julian Assange, éditeur de WikiLeaks, a déclaré: «Il existe un risque extrême de prolifération dans le développement des« armes »cybernétiques. On peut établir des comparaisons entre la prolifération incontrôlée de ces« armes »qui résulte de l'incapacité de les contenir, La valeur et le commerce mondial des armes, mais l'importance de «l'année zéro» va bien au-delà du choix entre la cyberguerre et la cyberpeace.Wikileaks a soigneusement examiné la divulgation «Année Zéro» et a publié des documents importants de la CIA tout en évitant la distribution de cyber-armes armées jusqu'à ce qu'un consensus se dégage de la nature technique et politique du programme de la CIA et comment ces armes devraient être analysées, désarmées et publiées .Wikileaks a également décidé de rédiger et d'anonymiser certaines informations d'identification dans «Year Zero» pour une analyse approfondie. Ces redactions comprennent dix milliers de cibles CIA et des machines d'attaque en Amérique latine, en Europe et aux États-Unis. Bien que nous soyons conscients des résultats imparfaits de toute approche choisie, nous restons attachés à notre modèle d'édition et notez que la quantité de pages publiées dans "Vault 7" première partie ("Year Zero") éclipse déjà le nombre total de pages publiées Les trois premières années des fuites de la NSA d'Edward Snowden. 
Une analyse:
 Les logiciels malveillants de la CIA visent l'iPhone, Android, les téléviseurs intelligentsLes logiciels malveillants et les outils de piratage informatique de la CIA sont construits par EDG (Engineering Development Group), un groupe de développement de logiciels au sein du CCI (Centre pour la cyberinformation), un département appartenant à la DDI de la CIA. Le DDI est l'une des cinq directions principales de la CIA (voir cet organigramme de la CIA pour plus de détails).Le GED est responsable du développement, de l'essai et du soutien opérationnel de tous les backdoors, exploits, charges utiles malveillantes, chevaux de Troie, virus et tout autre type de malware utilisé par la CIA dans ses opérations secrètes dans le monde entier.La sophistication croissante des techniques de surveillance a établi des comparaisons avec George Orwell 1984, mais «Weeping Angel», développé par la Direction des appareils embarqués (EDB) de la CIA, qui infeste les téléviseurs intelligents et les transforme en microphones cachés, est sans doute la réalisation la plus emblématique.L'attaque contre les téléviseurs intelligents Samsung a été développée en coopération avec le Royaume-Uni MI5 / BTSS. Après l'infestation, Weeping Angel place le téléviseur cible dans un mode «Fake-Off», de sorte que le propriétaire croit faussement que le téléviseur est éteint lorsqu'il est allumé. En mode "Fake-Off", le téléviseur fonctionne comme un bogue, enregistre les conversations dans la salle et les envoie par Internet à un serveur CIA secrète.En octobre 2014, la CIA envisageait également d'infecter les systèmes de contrôle des véhicules utilisés par les voitures et les camions modernes. Le but de ce contrôle n'est pas précisé, mais il permettrait à la CIA de s'engager dans des assassinats presque indétectables.La Direction des appareils mobiles de la CIA (MDB) a développé de nombreuses attaques pour pirater et contrôler à distance les smartphones populaires. Les téléphones infectés peuvent être chargés d'envoyer à la CIA la géolocalisation de l'utilisateur, les communications audio et textuelles, ainsi que d'activer secrètement la caméra et le microphone du téléphone.Malgré la part minoritaire de iPhone (14,5%) du marché mondial des téléphones intelligents en 2016, une unité spécialisée de la Direction du développement mobile de la CIA produit des logiciels malveillants pour infester, contrôler et exfiltrer les données d'iPhones et d'autres produits Apple iOS. L'arsenal de la CIA comprend de nombreux «jours zéro» locaux et éloignés développés par la CIA ou obtenus auprès du GCHQ, de la NSA ou du FBI ou achetés auprès d'entrepreneurs en cybercommerce tels que Baitshop. L'accent disproportionné sur iOS peut s'expliquer par la popularité de l'iPhone parmi les élites sociales, politiques, diplomatiques et commerciales.Une unité similaire cible Android de Google qui est utilisé pour exécuter la majorité des téléphones intelligents du monde (~ 85%), y compris Samsung, HTC et Sony. 1,15 milliard de téléphones Android ont été vendus l'année dernière. "Year Zero" montre qu'à partir de 2016, la CIA avait 24 "armes" Android "zéro jours" qu'il a développé lui-même et obtenu auprès de GCHQ, NSA et les armements de cyber armes.Ces techniques permettent à la CIA de contourner le cryptage de WhatsApp, Signal, Telegram, Wiebo, Confide et Cloackman en piratant les téléphones "intelligents" sur lesquels ils fonctionnent et en collectant le trafic audio et de message avant que le cryptage ne soit appliqué.

 
CIA malware cible Windows, OSx, Linux, routeurs

 La CIA exécute également un effort très important pour infecter et contrôler les utilisateurs de Microsoft Windows avec ses logiciels malveillants. Cela comprend de nombreux virus à sauts d'air, tels que "Hammer Drill", qui infecte les logiciels distribués sur CD / DVD, les infectors pour les médias amovibles tels que les USB, les systèmes pour cacher les données dans les images ou dans les zones de disque cachées («Branle Kangaroo») et de maintenir ses infestations de logiciels malveillants.Beaucoup de ces efforts d'infection sont rassemblés par la Direction de l'implantation automatisée de la CIA (AIB), qui a développé plusieurs systèmes d'attaque pour l'infestation automatisée et le contrôle des logiciels malveillants de la CIA, tels que «Assassin» et «Medusa».Les attaques contre l'infrastructure Internet et les serveurs Web sont développées par la Direction des périphériques réseau (NDB) de la CIA.La CIA a mis au point des systèmes automatisés d'attaque et de contrôle des programmes malveillants multiplateformes couvrant les domaines Windows, Mac OS X, Solaris, Linux et autres, comme EDE «HIVE» et les outils «Cutthroat» et «Swindle» qui sont décrits dans les exemples Dessous.

 
Vulnérabilités de la CIA («zéro jour»)Dans le sillage des fuites d'Edward Snowden au sujet de la NSA, l'industrie de la technologie américaine a obtenu un engagement de l'administration Obama que l'exécutif révélerait sur une base continue - plutôt que de stocker - de graves vulnérabilités, exploits, Google, Microsoft et autres fabricants basés aux États-Unis.De graves vulnérabilités ne sont pas divulguées aux fabricants place énormes portions de la population et des infrastructures critiques à risque pour les renseignements étrangers ou les cybercriminels qui découvrent indépendamment ou entendre des rumeurs de la vulnérabilité. Si la CIA peut découvrir de telles vulnérabilités, les autres peuvent en faire autant.L'engagement du gouvernement des États-Unis à l'égard du Processus d'équité en matière de vulnérabilité est venu après un lobbying important de la part des entreprises technologiques américaines qui risquent de perdre leur part du marché mondial par rapport aux vulnérabilités cachées réelles et perçues. Le gouvernement a déclaré qu'il divulguerait toutes les vulnérabilités omniprésentes découvertes après 2010 de façon continue.Les documents «Year Zero» montrent que la CIA a violé les engagements de l'administration Obama. Bon nombre des vulnérabilités utilisées dans l'arsenal cybernétique de la CIA sont omniprésentes et certaines peuvent déjà avoir été trouvées par des agences de renseignement rivales ou des cybercriminels.À titre d'exemple, les logiciels malveillants CIA spécifiques révélés dans «Year Zero» est capable de pénétrer, d'infester et de contrôler à la fois le téléphone Android et iPhone logiciel qui fonctionne ou a couru présidentielle comptes Twitter. La CIA attaque ce logiciel en utilisant des vulnérabilités de sécurité non divulguées («zéro jour») possédées par la CIA, mais si la CIA peut pirater ces téléphones, alors tout le monde peut avoir obtenu ou découvert la vulnérabilité. Tant que la CIA maintient ces vulnérabilités cachées à Apple et Google (qui font les téléphones), ils ne seront pas fixés, et les téléphones resteront hackable.Les mêmes vulnérabilités existent pour la population dans son ensemble, y compris le Cabinet des États-Unis, le Congrès, les principaux PDG, les administrateurs système, les agents de sécurité et les ingénieurs. En cachant ces défauts de sécurité de fabricants comme Apple et Google la CIA s'assure qu'il peut couper tout le monde & mdsh; Au détriment de laisser tout le monde hackable.

 
Les programmes de cyberguerre constituent un grave risque de prolifération

 Les «armes» cyberes ne peuvent pas rester sous contrôle effectif.Alors que la prolifération nucléaire a été freinée par les coûts énormes et l'infrastructure visible nécessaire pour assembler suffisamment de matières fissiles pour produire une masse nucléaire critique, les «armes» cybernétiques, une fois développées, sont très difficiles à retenir.Cyber ​​«armes» sont en fait des programmes informatiques qui peuvent être piratés comme tout autre. Comme ils sont entièrement composés d'informations, ils peuvent être copiés rapidement sans coût marginal.La sécurisation de ces «armes» est particulièrement difficile puisque les mêmes personnes qui les développent et les utilisent ont les compétences nécessaires pour exfiltrer des copies sans laisser de traces - parfois en utilisant les mêmes «armes» contre les organisations qui les contiennent. Il existe des incitations substantielles aux prix pour les pirates du gouvernement et les consultants pour obtenir des copies, car il existe un «marché de la vulnérabilité» mondial qui paiera des centaines de milliers à des millions de dollars pour des copies de ces «armes». De même, les entrepreneurs et les entreprises qui obtiennent de telles «armes» les utilisent parfois à leurs propres fins, obtenant un avantage sur leurs concurrents en vendant des services de «piratage».Au cours des trois dernières années, le secteur du renseignement américain, composé d'agences gouvernementales telles que la CIA et la NSA et leurs entrepreneurs, comme Booz Allan Hamilton, a fait l'objet d'une série sans précédent d'exfiltrations de données par ses propres travailleurs.Un certain nombre de membres de la communauté de renseignement qui n'ont pas encore été nommés publiquement ont été arrêtés ou soumis à des enquêtes criminelles fédérales dans des incidents distincts.Plus visiblement, le 8 février 2017, un grand jury fédéral américain a accusé Harold T. Martin III de 20 chefs d'accusation de mauvaise manipulation d'informations classifiées. Le ministère de la Justice a allégué qu'il avait saisi quelque 50 000 gigaoctets de renseignements provenant de Harold T. Martin III qu'il avait obtenus de programmes classifiés à la NSA et à la CIA, y compris le code source de nombreux outils de piratage informatique.Une fois que le cyber «arme» est «lâche», il peut se répandre dans le monde en quelques secondes, pour être utilisé par les États pairs, la cybermafie et les hackers adolescents.

 
Le consulat des États-Unis à Francfort est une base secrète de pirates informatiques de la CIAEn plus de ses opérations à Langley, en Virginie, la CIA utilise également le consulat des États-Unis à Francfort comme une base secrète pour ses pirates couvrant l'Europe, le Moyen-Orient et l'Afrique.Les pirates de la CIA opérant à partir du consulat de Francfort («Centre pour l'Europe du Cyber ​​Intelligence» ou CCIE) reçoivent des passeports diplomatiques («noirs») et une couverture du Département d'Etat. Les instructions pour les pirates entrants de la CIA font que les efforts de contre-espionnage de l'Allemagne semblent sans conséquence: "Brise à travers les douanes allemandes parce que tu as votre histoire de couverture pour action, et tout ce qu'ils ont fait, c'est marquer ton passeport"Votre histoire de couverture (pour ce voyage)Q: Pourquoi êtes-vous ici?R: Appuyer les consultations techniques au Consulat.Deux publications antérieures de WikiLeaks donnent plus de détails sur les approches de la CIA en matière de douanes et de procédures de dépistage secondaires.Une fois à Francfort, les hackers de la CIA peuvent voyager sans contrôle supplémentaire aux 25 pays européens qui font partie de la zone frontalière ouverte de Shengen - y compris la France, l'Italie et la Suisse.Un certain nombre de méthodes d'attaque électronique de la CIA sont conçues pour la proximité physique. Ces méthodes d'attaque sont capables de pénétrer les réseaux de haute sécurité qui sont déconnectés de l'Internet, comme la base de données de dossiers de police. Dans ces cas, un agent de la CIA, un agent ou un officier du renseignement allié agissant en vertu d'instructions, infiltre physiquement le lieu de travail ciblé. L'attaquant est fourni avec un USB contenant des logiciels malveillants développés pour la CIA à cet effet, qui est inséré dans l'ordinateur ciblé. L'attaquant infecte et exfiltre ensuite les données sur des supports amovibles. Par exemple, le système d'attaque CIA Fine Dining, fournit 24 applications de leurres pour les espions de la CIA à utiliser. Pour les témoins, l'espion semble exécuter un programme montrant des vidéos (par exemple VLC), présenter des diapositives (Prezi), jouer à un jeu d'ordinateur (Breakout2, 2048) ou même exécuter un faux antivirus (Kaspersky, McAfee, Sophos). Mais alors que l'application de leurre est sur l'écran, le système de sous-couche est automatiquement infecté et saccagé.

 
Comment la CIA a considérablement augmenté les risques de prolifération

Dans ce qui est sûrement l'un des objectifs les plus étonnants de la mémoire, la CIA a structuré son système de classification de sorte que pour la partie la plus précieuse du marché de «Vault 7» - les logiciels malveillants de la CIA (implants + zéro jour) LP) et les systèmes de commandement et de contrôle (C2) - l'agence a peu de recours juridique.La CIA a rendu ces systèmes non classés.Pourquoi la CIA a choisi de faire de son cyberarsenal non classé révèle comment les concepts développés pour l'usage militaire ne se croisent pas facilement au «champ de bataille» de la «guerre» cybernétique.Pour attaquer ses cibles, la CIA exige généralement que ses implants communiquent avec leurs programmes de contrôle sur Internet. Si les implants CIA, Command & Control et le logiciel Listening Post ont été classés, les agents de la CIA pourraient être poursuivis ou rejetés pour violation des règles qui interdisent de placer des informations classifiées sur Internet. Par conséquent, la CIA a secrètement fait la plupart de son cyber espionnage / code de guerre non classés. Le gouvernement des États-Unis n'est pas en mesure d'affirmer le droit d'auteur non plus, en raison des restrictions de la Constitution des États-Unis. Cela signifie que les fabricants de «bras» et les pirates informatiques peuvent «pirater» librement ces «armes» s'ils sont obtenus. La CIA a d'abord dû se fier à l'obfuscation pour protéger ses secrets de logiciels malveillants.Des armes classiques telles que des missiles peuvent être tirées sur l'ennemi (c'est-à-dire dans une zone non sécurisée). La proximité ou l'impact avec la cible fait exploser l'artillerie, y compris ses parties classées. Par conséquent, le personnel militaire ne viole pas les règles de classification en tirant des munitions avec des pièces classées. Ordnance va probablement exploser. Si ce n'est pas le cas, ce n'est pas l'intention de l'exploitant.Au cours de la dernière décennie, les opérations de piratage des États-Unis ont été de plus en plus habillées dans le jargon militaire pour exploiter les flux de financement du ministère de la Défense. Par exemple, les tentatives d '«injection de logiciels malveillants» (jargon commercial) ou de «gouttes d'implant» (jargon de la NSA) sont appelées «feux» comme si une arme était tirée. Cependant l'analogie est discutable.Contrairement aux balles, aux bombes ou aux missiles, la plupart des logiciels malveillants de la CIA sont conçus pour vivre pendant des jours voire des années après avoir atteint sa «cible». Les logiciels malveillants de la CIA ne «explosent pas à l'impact» mais infestent en permanence leur cible. Afin d'infecter le périphérique de la cible, des copies du malware doivent être placées sur les dispositifs de la cible, en donnant la possession physique du malware à la cible. Pour exfiltrer les données à la CIA ou attendre d'autres instructions, le logiciel malveillant doit communiquer avec les systèmes CIA Command & Control (C2) placés sur des serveurs connectés à Internet. Mais ces serveurs ne sont généralement pas autorisés à détenir des informations classifiées, de sorte que les systèmes de commandement et de contrôle de l'ICA ne sont pas classifiés.Une «attaque» réussie sur le système informatique d'une cible ressemble davantage à une série de manœuvres de stock complexes dans une offre hostile de prise de contrôle ou à la mise en place soigneuse de rumeurs afin de prendre le contrôle du leadership d'une organisation plutôt que le tir d'un système d'armes. S'il y a une analogie militaire à faire, l'infestation d'une cible est peut-être semblable à l'exécution d'une série de manœuvres militaires contre le territoire de la cible, y compris l'observation, l'infiltration, l'occupation et l'exploitation.

 
Évasion forensique et anti-virusUne série de normes exposent les modèles d'infestation de logiciels malveillants de la CIA qui sont susceptibles d'aider les enquêteurs judiciaires du crime ainsi que Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens et les entreprises anti-virus attribue et défendre contre les attaques.«Les DO et les DON'T de Tradecraft» contiennent des règles de la CIA sur la façon dont les logiciels malveillants devraient être écrits afin d'éviter les empreintes digitales impliquant la «CIA, le gouvernement américain ou ses partenaires partenaires» dans «l'examen médico-légal». Des normes secrètes semblables couvrent l'utilisation du cryptage pour masquer les pirates informatiques et les communications malveillantes de la CIA (pdf), décrivant les cibles et les données exfiltrées (pdf) ainsi que l'exécution des charges utiles (pdf) et la persistance (pdf) des machines de la cible au fil du temps.Les pirates de la CIA ont développé des attaques réussies contre les programmes anti-virus les plus connus. Ceux-ci sont documentés dans les défaites AV, les produits de sécurité personnelle, la détection et la défaite des PSP et PSP / Debugger / RE Avoidance. Par exemple, Comodo a été vaincu par les logiciels malveillants de la CIA se plaçant dans la «Corbeille» de la fenêtre. Alors que Comodo 6.x a un "trou de Gaping de DOOM".Les pirates informatiques de la CIA ont discuté de ce que les pirates de la NSA «Equation Group» ont fait de mal et comment les fabricants de logiciels malveillants de la CIA pouvaient éviter une exposition similaire.

 
Exemples

 Le système de gestion du Groupe de développement de l'ingénierie (GED) de la CIA contient environ 500 projets différents (dont certains sont documentés par «Année Zéro»), chacun avec ses propres sous-projets, les logiciels malveillants et les outils pirates.La majorité de ces projets concernent des outils utilisés pour la pénétration, l'infestation («implantation»), le contrôle et l'exfiltration.Une autre branche du développement se concentre sur le développement et le fonctionnement des systèmes d'écoute (LP) et de commande et de contrôle (C2) utilisés pour communiquer avec et contrôler les implants CIA; Des projets spéciaux sont utilisés pour cibler le matériel spécifique des routeurs aux téléviseurs intelligents.Quelques exemples de projets sont décrits ci-dessous, mais voir la table des matières pour la liste complète des projets décrits par WikiLeaks «Year Zero».

 
OMBRAGELes techniques de piratage à la main de la CIA posent un problème à l'agence. Chaque technique qu'il a créée forme une «empreinte digitale» qui peut être utilisée par les enquêteurs légistes pour attribuer plusieurs attaques différentes à la même entité.Ceci est analogue à la découverte de la même blessure de couteau distinctif sur plusieurs victimes de meurtre distinctes. Le style blessing unique suscite la suspicion qu'un seul meurtrier est responsable. Dès qu'un assassinat dans l'ensemble est résolu alors les autres meurtres trouvent également l'attribution probable.Le groupe UMBRAGE de la Direction des appareils à distance de la CIA recueille et gère une importante bibliothèque de techniques d'attaque «volées» contre les logiciels malveillants produits dans d'autres États, dont la Fédération de Russie.Avec l'UMBRAGE et les projets connexes, la CIA peut non seulement augmenter son nombre total de types d'attaque, mais aussi distraire l'attribution en laissant derrière elle les «empreintes digitales» des groupes dont les techniques d'attaque ont été volées.Les composants UMBRAGE couvrent les keyloggers, la collecte de mots de passe, la capture de webcam, la destruction des données, la persistance, l'escalade des privilèges, l'évitement de la furtivité, l'anti-virus (PSP) et les techniques d'enquête.

 
RestaurationFine Dining est livré avec un questionnaire standardisé, c'est-à-dire le menu que les agents de la CIA remplir. Le questionnaire est utilisé par le Bureau de soutien opérationnel (OSB) de l'agence pour transformer les demandes des agents de cas en exigences techniques pour les attaques de piratage (généralement «exfiltrer» des informations provenant de systèmes informatiques) pour des opérations spécifiques. Le questionnaire permet au BSF d'identifier comment adapter les outils existants pour l'opération et de les communiquer au personnel de configuration des programmes malveillants de la CIA. Le BSF sert d'interface entre le personnel opérationnel de l'ICA et le personnel de soutien technique pertinent.Parmi la liste des cibles possibles de la collection figurent «Actif», «Actif de liaison», «Administrateur de système», «Opérations d'information étrangère», «Agences de renseignement étrangères» et «Entités gouvernementales étrangères». Il est notamment absent de mentionner les extrémistes ou les criminels transnationaux. L'agent de cas est également invité à spécifier l'environnement de la cible comme le type d'ordinateur, le système d'exploitation utilisé, la connectivité Internet et les utilitaires antivirus installés (PSP), ainsi qu'une liste de types de fichiers à exfiltrer comme des documents Office , Audio, vidéo, images ou types de fichiers personnalisés. Le «menu» demande également des informations si un accès récurrent à la cible est possible et combien de temps l'accès non observé à l'ordinateur peut être maintenu. Ces informations sont utilisées par le logiciel 'JQJIMPROVISE' de la CIA (voir ci-dessous) pour configurer un ensemble de logiciels malveillants CIA adaptés aux besoins spécifiques d'une opération.

 
Improviser (JQJIMPROVISE)

 'Improvise' est un ensemble d'outils pour la configuration, le post-traitement, la configuration de la charge utile et la sélection des vecteurs d'exécution pour les outils d'enquête et d'exfiltration supportant tous les principaux systèmes d'exploitation comme Windows (Bartender), MacOS (JukeBox) et Linux (DanceFloor). Ses utilitaires de configuration tels que Margarita permettent au NOC (Network Operation Center) de personnaliser les outils en fonction des exigences des questions «Fine Dining».

 
RUCHEHIVE est une suite malware multi-plate-forme de la CIA et son logiciel de contrôle associé. Le projet fournit des implants personnalisables pour Windows, Solaris, MikroTik (utilisé dans les routeurs Internet) et les plates-formes Linux et une infrastructure Listening Post (LP) / Command and Control (C2) pour communiquer avec ces implants.Les implants sont configurés pour communiquer via HTTPS avec le serveur web d'un domaine de couverture; Chaque opération utilisant ces implants a un domaine de couverture séparé et l'infrastructure peut gérer n'importe quel nombre de domaines de couverture.Chaque domaine de couverture se résout à une adresse IP qui se trouve à un fournisseur commercial VPS (Virtual Private Server). Le serveur public redirige tout le trafic entrant via un VPN vers un serveur Blot qui gère les demandes de connexion réelles des clients. Il est configuré pour l'authentification facultative client SSL: si un client envoie un certificat client valide (seuls les implants peuvent le faire), la connexion est transmise au serveur d'outils 'Honeycomb' qui communique avec l'implant; Si un certificat valide est manquant (ce qui est le cas si quelqu'un essaie d'ouvrir le site Web de domaine de couverture par accident), le trafic est transmis à un serveur de couverture qui fournit un site Web sans prétention.Le serveur d'outils Honeycomb reçoit des informations exfiltrées de l'implant; Un opérateur peut également charger l'implant d'exécuter des tâches sur l'ordinateur cible, de sorte que le serveur d'outils agit en tant que serveur C2 (commande et contrôle) pour l'implant.Une fonctionnalité similaire (bien que limitée à Windows) est fournie par le projet RickBobby.Consultez les guides d'utilisateur et de développeur classifiés pour HIVE.

 
Questions fréquemment posées

 
Pourquoi maintenant?WikiLeaks a publié dès que sa vérification et analyse étaient prêtes.En février, l'administration Trump a émis un décret ordonnant la préparation d'un examen «Cyberwar» dans les 30 jours.Bien que l'examen augmente l'actualité et la pertinence de la publication, il n'a pas joué un rôle dans la fixation de la date de publication.

 
RedactionsLes noms, adresses de courrier électronique et adresses IP externes ont été effacés dans les pages publiées (70,875 redactions au total) jusqu'à ce que l'analyse soit terminée.

    
Sur-rédaction: Certains éléments peuvent avoir été expurgés qui ne sont pas des employés, des entrepreneurs, des cibles ou autrement liés à l'agence, mais sont par exemple des auteurs de documents pour des projets autrement publics utilisés par l'agence.
    
Identité vs personne: les noms redigés sont remplacés par des ID utilisateur (numéros) pour permettre aux lecteurs d'attribuer plusieurs pages à un seul auteur. Étant donné le processus de rédaction utilisé, une seule personne peut être représentée par plus d'un identificateur affecté, mais aucun identifiant ne fait référence à plus d'une personne réelle.
    
Les pièces jointes archivées (zip, tar.gz, ...) sont remplacées par une liste PDF répertoriant tous les noms de fichier dans l'archive. À mesure que le contenu de l'archive est évalué, il peut être mis à disposition; Jusqu'à ce que l'archive soit expurgée.
    
Les pièces jointes avec d'autres contenus binaires sont remplacées par un vidage hexadécimal du contenu pour empêcher l'invocation accidentelle de fichiers binaires susceptibles d'avoir été infectés par des logiciels malveillants CIA. Comme le contenu est évalué, il peut être mis à disposition; Jusqu'à ce que le contenu soit expurgé.
    
Les dizaines de milliers de références d'adresses IP routables (dont plus de 22 000 aux États-Unis) qui correspondent à des cibles possibles, des serveurs d'écoute secrètes de l'ICA, des systèmes intermédiaires et des systèmes de test, sont expurgées pour une enquête exclusive supplémentaire.
    
Les fichiers binaires d'origine non publique sont uniquement disponibles en tant que décharges pour empêcher l'invocation accidentelle des binaires infectés par les logiciels malveillants de la CIA.

 
Organigramme

 L'organigramme correspond au matériel publié par WikiLeaks à ce jour.Étant donné que la structure organisationnelle de la CIA au-dessous du niveau des directions n'est pas publique, le placement de l'EDG et de ses branches dans l'organigramme de l'agence est reconstruit à partir des informations contenues dans les documents publiés jusqu'à présent. Il est destiné à être utilisé comme un schéma approximatif de l'organisation interne; Veuillez noter que l'organigramme reconstitué est incomplet et que des réorganisations internes sont fréquentes.

 
Pages Wiki«Year Zero» contient 7818 pages Web avec 943 pièces jointes du groupware de développement interne. Le logiciel utilisé à cet effet est appelé Confluence, un logiciel propriétaire d'Atlassian. Pages Web dans ce système (comme dans Wikipedia) ont un historique de version qui peut fournir des aperçus intéressants sur la façon dont un document a évolué au fil du temps; Les 7818 documents incluent ces historiques de page pour 1136 dernières versions.L'ordre des pages nommées à l'intérieur de chaque niveau est déterminé par la date (la plus ancienne en premier). Le contenu de la page n'est pas présent s'il a été initialement créé dynamiquement par le logiciel Confluence (comme indiqué sur la page reconstruit).

 
Quelle période est couverte?Les années 2013 à 2016. L'ordre de tri des pages au sein de chaque niveau est déterminé par la date (la plus ancienne en premier).WikiLeaks a obtenu la date de création / dernière modification de la CIA pour chaque page, mais celles-ci n'apparaissent pas encore pour des raisons techniques. Habituellement, la date peut être discernée ou approchée du contenu et de l'ordre des pages. S'il est essentiel de connaître l'heure exacte, contactez WikiLeaks.

 
Qu'est-ce que "Vault 7"«Vault 7» est une importante collection de documents sur les activités de la CIA obtenues par WikiLeaks.

 
Quand a-t-on obtenu chaque partie de la «Voûte 7»?La première partie a été obtenue récemment et couvre jusqu'en 2016. Des détails sur les autres parties seront disponibles au moment de la publication.

 
Est-ce que chaque partie de "Vault 7" provient d'une source différente?Les détails sur les autres parties seront disponibles au moment de la publication.

 
Quelle est la taille totale de "Vault 7"?La série est la plus grande publication de renseignement de l'histoire.

 
Comment WikiLeaks at-il obtenu chaque partie de "Vault 7"?Les sources font en sorte que WikiLeaks ne révèle pas d'informations susceptibles de les identifier.


 WikiLeaks n'est-il pas inquiet que la CIA agisse contre son personnel pour arrêter la série?

Non. Ce serait certainement contre-productif.


WikiLeaks a-t-il déjà «extrait» toutes les meilleures histoires?

Non. WikiLeaks a intentionnellement pas écrit des centaines d'histoires d'impact pour encourager les autres à les trouver et ainsi créer une expertise dans la région pour les parties suivantes de la série. Ils sont là. Regardez. Ceux qui démontrent l'excellence journalistique peuvent être considérés pour l'accès précoce aux parties futures.


Les autres journalistes ne trouveront-ils pas toutes les meilleures histoires devant moi?

Improbable. Il y a beaucoup plus d'histoires que de journalistes ou d'universitaires qui sont en mesure de les écrire.

 Nota : peut contenir un virus !

Et les pages web qui relient a ce backdoor:

C:\Users\CIA-Vault7---year0\vault7\cms\page_13762803.html    exp.cve.20152548.1 
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762807.html    exp.cve.20152548.1
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762809.html    exp.cve.20152548.1  
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762811.html    exp.cve.20152548.1 
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762814.html    exp.cve.20152548.1  
C:\Users\CIA-Vault7---year0\vault7\cms\page_13762818.html    exp.cve.20152548.1




Voici les notes de Marc Maiffret:

Je voulais noter quelques éléments afin que les chercheurs en logiciels malveillants puissent suivre. N'hésitez pas à m'envoyer des corrections et des ajouts à Marc au nom de ce site. Les mises à jour de Twitter se produisent ici: https://twitter.com/marcmaiffretHttps://wikileaks.org/ciav7p1/cms/page_41123853.htmlWikileaks a décidé de refaire tous les fichiers binaires qui faisaient partie de la fuite de la CIA. Il semble qu'il y ait deux binaires cependant qu'ils ont décidé de ne pas refaire ou simplement commettre une erreur.Le premier est win32-srv8.zabbix-tech.com.exe qui a tout simplement été laissé pour téléchargement. Https://wikileaks.org/ciav7p1/cms/page_34308128.html Cela a été référencé dans quelques endroits en ligne et je suis analysé par quelqu'un quelque part.Celui dont je voulais faire une remarque rapide concernait JQJSNICKER (https://wikileaks.org/ciav7p1/cms/page_41123853.html). Wikileaks a redaculé tous les binaires sur cette page en les remplaçant par un PDF qui mentionne que les fichiers sont encore en cours d'examen.Ils ont néanmoins autorisé le téléchargement du fichier installateur.reg. Il s'agit d'un fichier clé du Registre Windows qui, lorsqu'il est importé sur un système, créera une tâche planifiée dans Windows. Après avoir nettoyé le fichier .reg en remplaçant # caractères par rien, vous aurez une valeur de clé. La variable de données et à l'intérieur d'elle est un exécutable DLL encodé base64.Cela décode un dll nommé installer.dll. Il s'agit d'une application .NET que vous pouvez décompiler dans n'importe quel décompilateur .NET tel que Jetbrains dotPeek. Les auteurs ont essayé pour une nuisance légère de code de .NET en utilisant le SmartAssembly d'obfuscator .NET de Redgate.Le fichier Installer.dll possède des fonctionnalités intéressantes, y compris le lancement d'une commande PowerShell avec executionPolicy sans restriction.Ce qui est plus intéressant, c'est une autre DLL .NET codée dans la section ressources de Installer.dll. Ceci est également codé en Base64 et décode sur un fichier Core.dll.Core.dll semble être une commande et un contrôle, ou plus, un programme de commande et d'exécution. Il convient de noter qu'il existe des caractéristiques de ce programme qui correspondent aux recommandations de conception d'implant documentées dans les fuites Vault7.Un aspect remarquable de Core.dll est une URL référencée sur le site notepad.cc.Notepad.cc était un site Web public comme pastebin où les gens pouvaient publier anonymement du contenu pour ensuite être référencé via des URL statiques. Je publie ce rapide, il faut plus de temps pour enquêter exactement sur la façon dont ces URL sont exploitées. Il convient de noter que le développeur de Notepad.cc a fermé le site Web en décembre 2015.Un autre aspect du mécanisme de rappel est qu'il semble avoir une erreur de frappe dans l'en-tête de l'agent utilisateur qui pourrait être utilisé dans la perspective de signature.La variable UserAgent manque la fermeture). Il est également intéressant de noter qu'ils ont utilisé une chaîne d'agent utilisateur de périphérique tactile comme indiqué par Touch à la fin. Il est possible qu'ils copient et collent de l'écran tactile des ordinateurs portables Dell dans leurs laboratoires? : -oIl y a plus dans ces binaires, mais je voulais obtenir quelque chose rapidement, de sorte que les ingénieurs inversés en cas de malveillance à temps plein beaucoup mieux peuvent regarder.Enfin, il convient de noter que lorsque j'ai téléchargé ces deux binaires sur Virus Total, la détection était 2/59 pour Installer.dll et 1/60 pour Core.dll.Ce qui est intéressant, c'est que Kaspersky était l'un des seuls lecteurs à détecter jusqu'ici. Cela est logique, car je crois comprendre que Kaspersky possède un rapport interne sur ce logiciel malveillant dans lequel ils signalent cette erreur binaire Wikileaks possible que je documentais ici. Je ne suis pas certain qu'ils ont rendu ce public mais n'ont rien vu sur leur blog au moment de l'écriture. Notez la raison pour laquelle ZoneAlarm détecte que c'est aussi parce qu'ils autorisent le moteur de Kaspersky. Il est également intéressant de noter que Kaspersky, au moment de l'écriture, ne détectait pas Core.dll (intégré dans Installer.dll). Je ne sais pas si c'est parce qu'ils n'ont pas vu que dans leur analyse ou les mises à jour de signature n'avaient tout simplement pas frappé Virus Total pour l'instant.

Le code comporte des mécanismes pour se nettoyer à partir d'un système. Il existe cependant des artefacts qui pourraient être laissés en cas d'accident et / ou sur un système qui n'a jamais été nettoyé. L'un de ces exemples est une clé de registre qui semble unique à ce logiciel malveillant:

    
SOFTWARE \ Microsoft \ DRM \ {cd704ff3-cd05-479e-acf7-6474908031dd}





Source.: