Whistleblowers. «Cherry Blossom», l’outil de la CIA pour pénétrer les points d’accès Wi-Fi

WIFI TREE. « Cherry Blossom » est un dispositif permettant à la CIA d’infecter un routeur Wi-Fi pour ensuite disposer d’un accès total au trafic y transitant. L’agence peut ensuite capturer l’ensemble du trafic ou cibler certains types de communications. Et plein d’autres attaques.

WikiLeaks publie, jeudi 15 juin, une série de documents, que Mediapart et La Repubblica ont pu consulter, détaillant « Cherry Blossom », dispositif permettant à la CIA d’infecter des points d’accès à l’Internet sans fil, comme des routeurs Wi-Fi, afin de surveiller et d’intercepter l’intégralité du trafic qui y transite.

« Cherry Blossom », CB en abrégé, est en fait constitué d’une suite d’outils qui permet à un opérateur de la CIA de prendre le contrôle de points d’accès sans fil, tels que ceux servant à se connecter en Wi-Fi dans une entreprise ou encore dans un bar, un aéroport, un hôtel… Une fois CB implanté dans l’appareil, la CIA pourra, à distance et via une interface dédiée, donner toute une série d’ordres à celui-ci afin de surveiller l’ensemble du trafic, ou de cibler un ordinateur ou un type de communication en particulier.

La première étape, et la plus délicate, est donc d’infecter le point d’accès à Internet. L’installation de « Cherry Blossom » se fait en effectuant une mise à jour du firmware (le logiciel) de l’appareil. À cette occasion, la CIA doit installer une version modifiée, incluant son propre logiciel, sans que les utilisateurs ne remarquent de changement. Mais cela ne semble pas réellement poser de problème à l’agence. Dans le « Quick start guide » de CB, l’agence se réjouit en effet que « beaucoup d’équipements sans fil permettent une mise à jour par un lien sans fil, ce qui signifie qu’un équipement sans fil peut être implanté sans accès physique ».

Le guide d’utilisateur de « Cherry Blossom » évoque plusieurs méthodes pour infecter les routeurs. Parmi celles-ci, plusieurs documents détaillent plus particulièrement « Claymore », « un outil de veille, de collecte et d’implantation pour appareils sans fil, indique le guide de l’utilisateur. La fonction de veille tente de déterminer les marques/modèles/versions des appareils dans une région d’intérêt », détaille ensuite le document, « [l]a fonction de collecte peut capturer le trafic sans fil, [l]a fonction d’implantation peut effectuer des mises à jour du firmware sans fil ». Un outil tout en un, donc, qui peut être utilisé « dans un environnement mobile (par exemple sur un ordinateur portable) ou dans un environnement fixe avec une antenne large pour une plus longue portée ».

Une fois infecté, le routeur devient, selon la terminologie de la CIA, un « Flytrap », un « piège à mouche ». Son premier rôle sera de servir de « balise », de communiquer avec un serveur dit « de commande et de contrôle » baptisé « Cherry Tree » (CT). Ce type de serveur est utilisé dans le cadre d’attaques informatiques utilisant des « botnets », des réseaux de machines, au sein desquels ils jouent le rôle de chef d’orchestre. C’est exactement ce rôle que le « Cherry Tree » joue ici. Régulièrement, le routeur lui enverra des « balises », c’est-à-dire des informations transitant par des points d’accès à Internet (PoP). En réponse, celui-ci donnera des ordres définis au préalable.

« Périodiquement, le Flytrap enverra au CT (via des PoP) une balise qui informera sur l’état et les réglages de sécurité de l’appareil, explique le guide de l’utilisateur. Le CT répondra avec une Mission qui chargera le Flytrap de rechercher les emails, les usagers chat ou les adresses MAC dans le trafic du réseau passant par l’appareil. Lors de la détection d’une cible […], le Flytrap enverra une alerte au CT. »

Ces « Missions » – ces ordres envoyés au routeur – sont définies au préalable par un être humain, un opérateur de la CIA. Pour cela, l’agence a mis en place une interface dédiée, « Cherry Web », dont le guide de démarrage donne quelques captures d’écran. Ce « Cherry Web » se présente comme un site Internet permettant de configurer les « Flytrap », de programmer les « Missions » et de surveiller leur déroulement, ainsi que le fonctionnement du dispositif.

Le « Flytrap » peut ainsi être configuré pour intercepter une partie du trafic comme « les adresses emails, les noms d’utilisateurs de chat » ou encore « les adresse MAC », également appelées « adresses physiques », un identifiant attribué à la carte réseau d’un ordinateur. CB permet bien entendu de cibler un ordinateur en particulier connecté au réseau infecté. Comme le souligne WikiLeaks dans son communiqué, le « Flytrap » se situe, en effet, entre la cible et son accès à Internet. Une position appelée « Man in the middle » en cyber-sécurité et connue pour être idéale pour lancer différentes attaques. L’opérateur pourra ainsi « copier le trafic réseau de la cible » ou encore rediriger « le navigateur d’une cible ». Cette dernière option permet de substituer un site à un autre et de connecter la cible à une page destinée à la piéger, alors qu’elle croyait se connecter, par exemple, à son compte Google.

En sus, l’opérateur pourra assigner au « Flytrap » des « actions globales », c’est-à-dire non liées à une cible ou un type de trafic particulier. Celles-ci incluent « la copie de tout le trafic du réseau » ou la collecte « [d]es adresses mails, [d]es noms d’utilisateurs de chat, [d]es numéros de VoIP » (« voix sur IP » en français, une technologie consistant à faire passer des communications audio ou vidéo par Internet et utilisée par exemple par Skype ou Viber). En outre, l’opérateur pourra mettre en place un VPN, un réseau privé, lui offrant un accès direct au réseau Wi-Fi ciblé afin d’y lancer d’autres attaques.

Les documents publiés par WikiLeaks sont datés d’entre 2007 et 2012. Mais il n’y a aucune raison pour que la CIA ait abandonné ces outils. Comme le précise le guide d’utilisateur, « Cherry Blossom » est installé lors d’une mise à jour forcée du routeur. Par la suite, il est totalement transparent et presque indétectable. De plus, de nombreux modèles de routeurs n’ont depuis pas évolué. Parmi les documents publiés, figure une liste des marques et modèles sur lesquels CB est effectif. La Repubblica en a tiré une liste de routeurs encore sur le marché. Et parmi ceux-ci figure notamment le « WRT54GL » de la marque Linksys, particulièrement populaire. Au mois de janvier 2016, le site Ars Technica lui consacrait même un article et saluait la longévité d’un produit vieux de 11 ans et rapportant encore des millions à son fabricant.

Cette publication s’inscrit dans la série Vault 7 de WikiLeaks, consacrée aux attaques informatiques ciblées de la CIA. Au début du mois de mars, l’organisation avait annoncé avoir récupéré 8 761 documents et fichiers détaillant les outils d’espionnage numérique de l’agence. Depuis, chaque semaine, WikiLeaks détaille l’un d’entre eux.