Le 7 mars, le site WikiLeaks a débuté la publication de documents et fichiers qui émaneraient du Center for Cyber Intelligence de la CIA. Elle dévoile la vaste panoplie de techniques et outils de hacking dont disposerait l'agence centrale de renseignement américaine. Un arsenal de cyberarmes pour mener des attaques ciblées.

À cet effet, des vulnérabilités de sécurité affectant un large éventail d'appareils et logiciels sont exploitées. Parmi celles-ci, certaines n'avaient pas nécessairement de correctif idoine prodigué par l'éditeur concerné (des failles 0day). Pour le moment, WikiLeaks a volontairement évité de publier tous les détails techniques. Une manière de désarmer les cyberarmes.

Fondateur de WikiLeaks, Julian Assange a annoncé que de tels détails seront communiqués en amont aux éditeurs et fabricants. Un accès en avant-première afin qu'ils développent et publient des correctifs. Selon une information de Motherboard, aucun partage en ce sens n'a encore eu lieu, en dépit de premiers contacts comme avec Apple, Google, Microsoft, Mozilla et MikroTik qui sont cités par WikiLeaks.

Avant d'obtenir des informations sur les exploits 0day et autres méthodes de hacking, WikiLeaks obligerait les éditeurs à satisfaire un ensemble de conditions. Celles-ci ne sont pas précisées par Motherbord qui évoque seulement une politique de divulgation de 90 jours. Les éditeurs et fabricants auraient ainsi trois mois pour publier un patch après la communication d'une faille.

Une telle politique de 90 jours fait par exemple écho à la pratique parfois décriée du Project Zero de Google. Néanmoins, il est difficile de dire si en l'occurrence un tel délai sera suffisant pour déployer des patchs. Peut-on y voir un ultimatum ? La question reste ouverte, surtout tant que l'on ne connaît pas les autres exigences de WikiLeaks.

Le fait que la CIA soit impliquée complique d'autant plus l'affaire par rapport à une politique standard de divulgation des failles. Et que dire de l'attitude de cette dernière s'il s'avère que ses exploits ont effectivement fuité. Va-t-elle entrer en contact avec les éditeurs touchés ? Ce serait aussi reconnaître l'authenticité des documents en la possession de WikiLeaks, ce que la CIA a refusé de faire pour le moment, tout en critiquant l'initiative du site.

CIA
Apple mais aussi Google semblent plutôt sereins. Ils ont déjà fait savoir que nombre de vulnérabilités évoquées dans le cadre de l'affaire Vault 7 ont déjà été corrigées. Ce qui ne veut pourtant pas dire toutes… Plusieurs entreprises continuent d'analyser les premiers documents fuités. Sur la base d'une telle analyse, Cisco a par exemple repéré une vulnérabilité critique affectant Cluster Management Protocol dans Cisco IOS et Cisco IOS XE Software.

Rappelons que Vault 7 n'a fait que débuter. WikiLeaks promet d'autres publications dans les prochaines semaines.