Code source de l’outil de la CIA pour suivre les dénonciations faites par Wikileaks
Wikileaks vient de publier un nouveau lot de la fuite de Vault 7, exposant la documentation et le code source d’un projet de la CIA connu sous le nom de « Scribbles ».
Scribbles, alias le « Snowden Stopper », est un logiciel qui aurait été conçu pour intégrer des balises « web beacon » dans des documents confidentiels, permettant à l’agence d’espionnage de suivre les dénonciateurs et les espions étrangers.
Depuis mars, dans le cadre de sa série « Vault 7 », le site web Whistleblowing a publié des milliers de documents et autres informations confidentielles qui, selon le groupe de dénonciateurs, proviennent de l’Agence centrale de renseignement américaine (CIA).
La CIA elle-même a décrit Scribbles comme un « outil de traitement par lots permettant de pré-générer des filigranes et d’insérer ces filigranes dans des documents qui sont apparemment volés par des acteurs du FIO (agents de renseignement étrangers) ».
Voici comment fonctionne l’outil Scribbles :
L’outil Scribbles est codé en langage de programmation C# et génère un filigrane aléatoire pour chaque document, l’insère dans le document, enregistre tous les documents traités dans un répertoire de sortie et crée un fichier journal qui identifie les filigranes insérés dans chaque document.
Cette technique fonctionne exactement de la même manière que le « pixel de suivi », où une image de la taille d’un minuscule pixel est intégrée dans un courrier électronique, permettant aux spécialistes du marketing et aux entreprises de savoir combien d’utilisateurs ont vu la publicité.
wikiLeaks-vault7-scribbles
En utilisant cet outil, la CIA insère un minuscule fichier généré de manière unique, hébergé sur un serveur contrôlé par la CIA, dans les documents classifiés « susceptibles d’être volés ».
Ainsi, chaque fois que quelqu’un, y compris des dénonciateurs potentiels, accède à un document filigrané, il charge secrètement un fichier intégré en arrière-plan, qui crée une entrée sur le serveur de la CIA, contenant des informations uniques sur la personne qui y a accédé, y compris l’horodatage et son adresse IP.
- « Il génère un filigrane aléatoire pour chaque document, insère ce filigrane dans le document, enregistre tous ces documents traités dans un répertoire de sortie et crée un fichier journal qui identifie les filigranes insérés dans chaque document », lit-on dans le manuel du guide de l’utilisateur de Scribbles.
Scribbles ne fonctionne qu’avec les produits Microsoft Office
Le manuel d’utilisation précise également que l’outil est destiné au prétraitement hors ligne des documents Microsoft Office. Ainsi, si les documents filigranés sont ouverts dans une autre application comme OpenOffice ou LibreOffice, ils peuvent révéler des filigranes et des URL à l’utilisateur.
Selon la documentation, « l’outil de filigranage des documents Scribbles a été testé avec succès sur ... Microsoft Office 2013 (sur Windows 8.1 x64), les documents des versions 97-2016 d’Office (les documents Office 95 ne fonctionneront pas !) [et] ... les documents qui ne sont pas des formulaires verrouillés, cryptés ou protégés par un mot de passe ».
Cependant, comme les filigranes cachés sont chargés à partir d’un serveur distant, cette technique ne devrait fonctionner que lorsque l’utilisateur accédant aux documents marqués est connecté à l’internet.
WikiLeaks note que la dernière version publiée de Scribbles (v1.0 RC1) date du 1er mars 2016, ce qui indique qu’elle a été utilisée au moins jusqu’à l’année dernière et qu’elle semble destinée à rester classée jusqu’en 2066.
Plus de détails techniques sur Scribble peuvent être trouvés dans le Guide de l’utilisateur.
Jusqu’à présent, Wikileaks a révélé le lot « Year Zero » qui a mis au jour les exploits de piratage de la CIA pour du matériel et des logiciels populaires, le lot « Dark Matter » qui s’est concentré sur les exploits de piratage de l’agence conçus pour cibler les iPhones et les Macs, le lot « Marble » et le lot « Grasshopper » qui révèlent un cadre, permettant à l’agence de créer facilement des logiciels malveillants personnalisés pour s’introduire dans Windows de Microsoft et contourner la protection antivirus.