La CIA peut infiltrer des réseaux sécurisés de Windows et de Linux pour voler des mots de passe et pour espionner les données envoyées, selon les documents publiés par WikiLeaks dans le cadre de leur projet Vault7.

L'organisation lanceuse d'alerte WikiLeaks a publié jeudi une nouvelle partie des documents relatifs à son projet baptisé Vault 7. Les documents concernent en particulier deux projets de la CIA destinés à voler des identifiants d'accès des utilisateurs.

«Aujourd'hui, le 6 juillet 2017, WikiLeaks a publié des documents relatifs aux projets BothanSpy et Gyrfalcon de la CIA. Les implants décrits dans ces deux projets sont conçus pour intercepter et exfiltrer les données d'identification SSH, mais fonctionnent sur différents systèmes d'exploitation avec différents angles d'attaque», a déclaré WikiLeaks sur son site.

Le SSH est un protocole de réseau cryptographique qui donne à l'utilisateur un accès distant sécurisé au serveur d'un site Web. Les informations d'identification SSH sont les informations de connexion, contenant notamment l'adresse du serveur, le numéro de port, le nom d'utilisateur et le mot de passe.

Selon WikiLeaks, BothanSpy est un implant ciblant le programme client SSH conçu pour le système Microsoft Windows, qui vole des informations d'identification des utilisateurs au cours des sessions de SSH actives. Les données sont ensuite exfiltrées vers un serveur contrôlé par la CIA, ou sont cryptées et sauvegardées pour une exfiltration ultérieure via d'autres moyens.

Gyrfalcon est un implant qui cible le client OpenSSH sur les plates-formes Linux (centos, debian, rhel, suse, ubuntu). Ce logiciel est non seulement capable de voler les informations d'identification des utilisateurs pendant les sessions SSH actives, mais il peut également collecter le trafic complet ou partiel de toute la session OpenSSH.
WikiLeaks a publié un premier lot de documents piratés de la CIA la 7 mars, promettant qu'il s'agirait de la plus grande campagne de révélation sur l'agence de renseignement. Elle comprend plus de 8 700 documents et fichiers qui étaient conservés sur un réseau interne isolé du Centre de cyber-espionnage basé au quartier général de la CIA à Langley (Virginie).