211service.com
Le vol d'outils de piratage de la CIA met en lumière la sécurité laxiste de l'agence d'espionnage
La CIA ne connaît toujours pas l'étendue exacte de sa violation de données sans précédent en 2016. Photo : CIA
Les agences de renseignement américaines manquent toujours de sécurité, des années après des fuites de données très médiatisées d'Edward Snowden, Chelsea Manning et Joshua Schulte, selon un membre de la commission du renseignement du Sénat américain. Dans un lettre au directeur du renseignement national John Ratcliffe, le sénateur Ron Wyden utilise un rapport interne de 2017 de la CIA pour détailler les façons dont la communauté du renseignement a continuellement échoué à se protéger.
La communauté du renseignement est toujours à la traîne et n'a pas réussi à adopter même les technologies de cybersécurité les plus élémentaires largement utilisées ailleurs au sein du gouvernement fédéral, écrit Wyden.
Le rapport, qui a été obtenu sous forme expurgée par le Washington Post , détaille comment l'unité de piratage d'élite de l'agence a favorisé la construction de cyber-armes offensives alors qu'elle n'a pas réussi à sécuriser certains de ses systèmes les plus importants, un schéma qui a conduit au vol en 2016 d'outils de piratage qui ont ensuite été publiés par WikiLeaks sous le nom de Vault 7. Les responsables américains a déclaré qu'il s'agissait de la plus grande perte de données de l'histoire de la CIA.
Dans sa lettre, Wyden affirme que les échecs sont en cours, identifie trois manquements spécifiques à titre d'exemples et soutient que le Congrès devrait soumettre les agences de renseignement aux exigences fédérales normales en matière de cybersécurité.
Malheureusement, il est maintenant clair que le fait d'exempter la communauté du renseignement des exigences fédérales de base en matière de cybersécurité était une erreur, écrit-il.
Une tempête de lacunes
Le rapport de la CIA de 2017 documente un incident au cours duquel WikiLeaks a publié plus de 8 000 pages de documents Vault 7 qui ont donné une vue sans précédent des capacités de l'agence à pirater divers systèmes d'exploitation, téléphones mobiles et applications de messagerie. L'ancien employé de la CIA, Schulte, a ensuite été inculpé et a plaidé non coupable d'avoir volé le trésor d'outils de piratage, puis de les avoir remis à WikiLeaks pour publication. En mars, Schulte a été reconnu coupable d'outrage au tribunal et de fausses déclarations au FBI, mais le jury du procès est resté dans l'impasse quant à savoir s'il avait illégalement recueilli et transmis des informations sur la défense nationale. Après la déclaration d'annulation du procès, Schulte fait face à la perspective d'un nouveau procès.
Le vol visait l'unité de piratage d'élite de la CIA, connue sous le nom de Center for Cyber Intelligence, et le rapport interne indique que l'agence n'aurait peut-être jamais appris le vol de jusqu'à 34 téraoctets de données si elles n'avaient pas été publiées. En fait, l'agence admet qu'elle ne connaît toujours pas l'ampleur précise de la perte car les systèmes de mission qui ont été touchés ne nécessitaient pas de surveillance des activités ou d'autres garanties.
Le rapport établit un contraste entre les profondes défaillances de sécurité des systèmes de mission de l’unité de piratage de la CCI et le succès général de la cybersécurité sur les systèmes d’entreprise de la CIA, qui représentent la part du lion du réseau informatique de la CIA.
Le rapport indique que les cyber-armes de l'unité étaient largement ouvertes à toute personne ayant accès au réseau de la mission, et que le réseau manquait de capacités normales de surveillance et d'audit. Une tempête de lacunes a permis à la sécurité de tomber loin dans la liste des priorités.
Alors que la CIA a été l'un des premiers leaders dans la sécurisation de notre système de technologie de l'information d'entreprise, nous n'avons pas réussi à corriger les vulnérabilités aiguës, indique le rapport. Les pratiques de sécurité quotidiennes étaient devenues terriblement laxistes.
Défauts de sécurité
Les commentaires montrent que même certains des pirates informatiques offensifs les mieux financés et les plus compétents au monde luttent puissamment pour se défendre.
Pour les agences d'espionnage américaines, la dernière décennie a été ponctuée de multiples violations de données très médiatisées suivies d'appels répétés en faveur d'un changement systémique en matière de cybersécurité. Les agences de renseignement comme la CIA et la National Security Agency avaient été exemptées des règles imposées par le Congrès au reste du gouvernement fédéral. On s'attendait à ce qu'ils dépassent facilement ces normes, mais cela ne s'est pas produit.
En fait, un chien de garde de la communauté du renseignement américain a publié un rapport en 2019 exhortant les agences à améliorer leurs contrôles sur les documents classifiés, en particulier contre le type de menaces internes qui ont ponctué la dernière décennie, notamment la fuite de documents de la NSA par Snowden et la fuite par Manning de documents américains classifiés relatifs à la guerre en Irak.
Parmi les problèmes mis en évidence par Wyden figure l'incapacité de la communauté du renseignement à adopter DMARC, un protocole d'authentification des e-mails qui protège contre les attaques de phishing courantes et très efficaces, malgré une directive de 2017 qui oblige les agences fédérales à le faire.
Pendant ce temps, les agences de renseignement n'ont pas encore sécurisé les domaines .gov avec une authentification multifactorielle, malgré un avertissement en janvier 2019 du Département de la sécurité intérieure selon lequel le système était ciblé par des pirates iraniens.
Un rapport de l'Inspecteur général de la communauté du renseignement publié en 2019 a conclu que 20 recommandations liées à la sécurité n'avaient toujours pas été traitées par les agences, mais qu'elles restaient classifiées.
S'il y a de bonnes nouvelles pour la CIA dans le rapport expurgé, cela concerne le dossier doré des fichiers les plus sensibles de l'agence, y compris tous les outils de piratage et le code source. Ce matériel n'a pas été volé, a conclu le groupe de travail interne, grâce à une protection renforcée et au fait qu'il était trop volumineux pour être facilement exporté.
Le directeur du renseignement national a reçu la lettre de Wyden et travaille actuellement sur une réponse, mais c'est finalement au Congrès de décider si les agences de renseignement américaines ont besoin de nouvelles règles afin qu'elles puissent répondre aux mêmes normes de cybersécurité que le reste du gouvernement fédéral.
L'article a été mis à jour pour clarifier la distinction entre les défaillances de sécurité spécifiquement au CCI, une unité de piratage d'élite au sein de la CIA, par opposition aux systèmes informatiques d'entreprise plus importants de la CIA.