On découvrait hier que la CIA disposait d’une panoplie d’outils lui permettant d’espionner toutes sortes d’appareils. Qui est menacé et comment se protéger ? Cet article tente de répondre à ces questions.

 

Au lendemain des nouvelles révélations de WikiLeaks, on en sait déjà un peu plus sur le leak « Vault 7 ».

L’organisation de Julian Assange a émis hier un communiqué sensationnaliste révélant que la CIA disposait d’une panoplie d’attaques informatiques « contre un large éventail d’appareils, incluant les iPhone d’Apple, Android de Google, Microsoft Windows ou encore des téléviseurs Samsung ».

À la lecture de cette seule phrase, on pouvait penser que les renseignements américains pouvaient tout espionner. Et en dépit de nos précautions, nous n’avons — dans un premier temps — pas suffisamment nuancé le discours de WikiLeaks.

Or comme nous allons le voir, il convient de minimiser la portée de Vault 7, du moins de ce premier lot de révélations, intitulé Zero Year.

Quels smartphones sont vulnérables ?

C’est que, pour commencer, aucun smartphone récent ni aucune plateforme récente ne sont listés…

Du moins à ce stade des révélations.

C’est une précision très importante. Car les documents du leak datent selon les cas de 2013 à 2016. En l’occurrence, « Year Zero » est un instantané d’un wiki de la CIA dont certains des articles n’ont pas été mis à jour depuis 2013. WikiLeaks n’affiche pas encore la date de la dernière mise à jour de chacun des articles pour des raisons techniques, mais on peut dater certains documents autrement.

Ainsi un document décrivant un exploit pour Google Chrome précise que la dernière version en date est la version 39, qui date de 2014.

Dans un autre document détaillant les exploits compatibles avec les terminaux Samsung, le produit le plus récent mentionné est le Galaxy S5. Ça ne signifie pas pour autant que les Galaxy S6 et Galaxy S7 ne sont pas vulnérables, simplement qu’ils n’étaient pas encore sortis la dernière fois que le document a été mis à jour ou récupéré.

Dans le même ordre d’idée, aucune version d’Android ultérieure à Android 4.4.4 KitKat n’est mentionnée dans la première partie du leak. Mais de nouveau, on ne peut pas en conclure pour autant qu’Android 5.0, 6.0 ou 7.0 sont préservés.

En somme, les révélations de WikiLeaks ne donnent qu’une vision partielle de l’inventaire de la CIA. Au moins sur le plan temporel. Et rien ne dit qu’il n’existe pas d’autres catalogues d’exploits. Ainsi on peut déterminer si un appareil est vulnérable, mais on ne peut pas dire qu’un appareil ne l’est pas.

Comment se protéger ?

Dans ce contexte, on ne peut donner qu’un conseil général : privilégier les marques qui accordent de l’importance à la sécurité de leurs produits, puis installer les mises à jour sans délai.

Apple par exemple a rapidement annoncé que la plupart des failles révélées par le leak sont déjà comblées dans la dernière version d’iOS. Ils ont ajouté qu’ils s’occuperaient rapidement de toute vulnérabilité identifiée.

Samsung et Microsoft ont quant à eux déclaré qu’ils étudiaient la question.

À l’heure où nous publiions, Google n’a pas encore commenté le leak.

Les utilisateurs des 33 % de terminaux bloqués sur une version d’Android antérieure à la 5.0 sont invités à renouveler leur smartphone. Un nouveau smartphone premier prix est certainement plus adapté à vos usages qu’un ancien smartphone bloqué sur Android 4.4, même si c’était un modèle haut de gamme.

Quant à basculer sur un dumbphone (tel qu’un Nokia 3310 original), si vous n’en aviez pas encore ressenti le besoin, c’est probablement un peu excessif.

Surveillance de masse contre espionnage ciblé

Ce qu’il faut surtout retenir des révélations de WikiLeaks c’est que, contrairement aux révélations d’Edward Snowden, elles portent sur des attaques informatiques ciblées. Contrairement à la NSA (agence nationale de sécurité américaine), qui s’attelle à détecter des signaux faibles à grande échelle, la CIA (l’agence centrale du renseignement) se concentre sur de l’espionnage ciblé.

Même en faisant abstraction du fait que la plupart des failles révélées requièrent un accès physique au terminal à surveiller, l’espionnage de masse est exclu pour au moins deux raisons. Premièrement en raison du coût de mise en œuvre de chacune des attaques. Et deuxièmement parce que chaque attaque risque de révéler l’existence de la faille et donc d’entrainer sa correction.

Autrement dit, à moins que vous n’éveilliez des soupçons, votre vie privée n’est pas menacée par la CIA.

Vault 7 n’est pas pour autant une non-information : ces outils peuvent changer de main, de régime, et des individus qui n’ont rien à craindre aujourd’hui seront peut-être visés demain. Plus largement, les mœurs évoluent, et une idée dissidente aujourd’hui sera peut-être la normalité demain. La découverte de ces nouvelles armes informatiques risque ainsi de renforcer l’autocensure à laquelle se livrent certaines minorités, et donc de ralentir l’évolution de la société…

Et si vous souhaitez approfondir l’affaire Vault 7, nous vous invitons à vous tourner vers nos confrères de Numerama.

À lire sur FrAndroid : Vault 7 : la CIA pouvait pirater tous nos smartphones