Politique et économie

WikiLeaks dévoile BothanSpy et Gyrfalcon de la CIA, des outils pour pirater Windows et Linux

WikiLeaks vient de dévoiler de nouveaux outils de la CIA, BothanSpy et Gyrfalcon. Ils permettent de compromettre une communication sécurisée SSH sous Windows ou Linux. En clair, leur fonction est de voler les identifiants de session SSH sur une machine.

Dans le cadre de sa mission de dévoiler les outils, les techniques et les procédés de la CIA pour espionner la planète, WikiLeaks publie de nouveaux documents. Ils révèlent des outils de piratage de la CIA. Ils visent les clients SSH Windows et Linux.

BothanSpy et Gyrfalcon ont été conçus pour dérober les informations d’identification des utilisateurs durant des sessions SSH actives sous Windows et Linux.

Wikileaks

BothanSpy s’attaque à Windows

BothanSpy s’attaque à Xshell, un client SSH populaire sous Windows. L’outil permet à la CIA de voler un tas d’informations très confidentielles comme le nom d’utilisateur et le mot de passe d’une session SSH authentifiée par mot de passe, le nom du fichier de la clé privée SSH et la clé dans le cas d’une authentification par clé publique. Il est expliqué

« BothanSpy peut exfiltrer les informations d’identification volées à un serveur contrôlé par la CIA (de sorte que l’implant ne touche jamais l’unité de stockage sur le système cible) ou enregistrez les données dans un fichier chiffré pour une exfiltration ultérieure par d’autres moyens. BothanSpy est installé sous la forme d’une extension Shellterm 3.x sur la machine cible » 

SSH

Le SSH est l’abréviation de Secure Shell. Il s’agit d’un protocole de communication sécurisé. La communication est assurée par un échange de clés de chiffrement en début de connexion. Ainsi les données transmises par TCP sont authentifiées et chiffrées. Le TCP alias le Transmission Control Protocol a pour objectif de découper le flux d’octets en segments dont la taille varie en fonction de la taille maximale d’un paquet pouvant être transmis en une opération. Nous parlons ici de MTU, Maximum Transmission Unit

Gyrfalcon s’attaque à linux mais à une condition

De son côté Gyrfalcon est un outil de piratage destiné au client OpenSSH pour Linux. Ceci concerne donc toutes les distributions populaires comme SUSE ou Ubuntu. Des informations d’identification de l’utilisateur  peuvent être volées. WikiLeaks souligne cependant que le dispositif peut usurper d’autres données avant que l’ensemble soit compilé dans un fichier chiffré. Il est ensuite rapatrié par la CIA.

«L’implant ne vole pas seulement des informations d’identification de l’utilisateur d’une session SSH actives, il collecte aussi trafic total ou partiel d’une session OpenSSH. Toutes les informations collectées sont stockées dans un fichier chiffré pour une exfiltration ultérieure. Il est installé et configuré en utilisant un kit racine développé par la CIA (JQC / KitV) sur la machine cible »

Cette dernière information est intéressante car la CIA ne peut utiliser Gyrfalcon qu’après avoir compromis le système Linux avec un rootkit. L’agence dispose bien évidemment du nécessaire mais cela complique l’affaire.

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Partager
Publié par
Jérôme Gianoli

Article récent

Carte mère : AMD et Intel s’apprêtent à s’attaquer aux milieu et entrée de gamme

Lors du CES 2025, les géants Intel et AMD vont dévoiler de nouveaux processeurs et… Lire d'avantage

27/12/2024

Le jeu HOT WHEELS UNLEASHED est offert

L'Epic Games Store propose actuellement un jeu gratuit jusqu'au 28 décembre 2024 à savoir HOT… Lire d'avantage

27/12/2024

GeForce RTX 5070 et 5070 Ti, il est temps de faire un bilan

Les spécifications des prochaines GeForce RTX 5070 (Ti) de Nvidia ont été publiées. Ces informations… Lire d'avantage

27/12/2024

GeForce RTX 5090 : première photo et détails techniques sur le monstre « Blackwell »

Une image de la GeForce RTX 5090 a fuité. Elle dévoile des éléments clés sur… Lire d'avantage

27/12/2024

Radeon RX 9070 XT, sa carte d’identité est prometteuse

Une récente fuite dévoile des détails sur la Radeon RX 9070 XT d’AMD. Cette carte… Lire d'avantage

27/12/2024

Ryzen 9 9950X3D, il est temps de faire un bilan

Les premiers échantillons d’ingénierie du Ryzen 9 9950X3D d’AMD dévoilent des spécifications prometteuses pour cette… Lire d'avantage

27/12/2024