Discussion :

[Aiekick]

d'un point de vue legal, c'est logique, d'un point de vue éthique c'est discutable..

[Stéphane le calme]

Vault 7 : la fuite de l’arsenal de cyberarmes de la CIA a été le fruit d’une sécurité « terriblement laxiste »,
reconnaît l’agence dans un rapport interne

Le plus grand vol de données dans l'histoire de la CIA s'est produit parce qu'une unité spécialisée au sein de l'agence était tellement concentrée sur le développement d'armes cybernétiques qu'un employé a profité d'une sécurité « terriblement laxiste » et a partagé des outils de piratage secrets à WikiLeaks, selon un rapport interne publié mardi.

Les outils de piratage volés lors de l'infraction, survenue en 2016, provenaient de son Centre de Cyberintelligence (CCI). La quantité de données volées est inconnue, indique la note, mais pourrait atteindre les 34 téraoctets de données. Le vol n’a été révélé qu’environ un an plus tard, en mars 2017, lorsque WikiLeaks a publié ce qu'il prétendait être le plus grand trésor de documentation de la CIA, surnommé Vault 7, détaillant certaines des cyberarmes sophistiquées de l'agence.

Cet incident a provoqué un examen d’un groupe de travail au sein de la CIA qui a été appelé la WikiLeaks Task Force. Ce dernier a soumis ses conclusions dans un rapport d'octobre 2017 au directeur de l'époque, Mike Pompeo, et à son adjoint – qui est maintenant le directeur – Gina Haspel.

Avec un ton qui peut faire penser à un aveu accablant, ses auteurs écrivent : « Nous n'avons pas reconnu ou agi de manière coordonnée sur les signes avant-coureurs qu'une personne ou des personnes ayant accès aux informations classifiées de la CIA représentaient un risque inacceptable pour la sécurité nationale ».

Le porte-parole de l'agence, Timothy Barrett, a déclaré : « La CIA s'efforce d'incorporer les meilleures technologies de sa catégorie pour garder une longueur d'avance et se défendre contre les menaces en constante évolution ».

Le rapport publié mardi est lourdement expurgé, mais indique clairement que la violation est le résultat d'une série de lacunes de sécurité « au fil des ans qui ont trop souvent privilégié la créativité et la collaboration au détriment de la sécurité » : « Dans le contexte d’une pression pour répondre aux besoins croissants et critiques des missions, CCI avait accordé la priorité au développement d'armes cybernétiques au détriment de la sécurisation de ses propres systèmes. Les pratiques de sécurité quotidiennes étaient terriblement laxistes », peut-on lire sur le rapport.

Le mémo du groupe de travail a été publié mardi par le sénateur Ron Wyden, un démocrate de l'Oregon au sein du comité du renseignement du Sénat, qui a obtenu une version incomplète et expurgée du ministère de la Justice. Dans une lettre adressée au nouveau directeur du renseignement national, John Ratcliffe, Wyden a demandé plus d'informations sur les « problèmes de cybersécurité répandus dans la communauté du renseignement ».

Le rapport de la CIA publié par Wyden a souligné que l'Agence ne connaissait pas l'étendue complète des dommages parce que le système CCI, contrairement à d'autres parties des systèmes informatiques de l'Agence, « n'exigeait pas de surveillance de l'activité des utilisateurs ou d'autres garanties... »

« La plupart de nos cyberarmes sensibles n'étaient pas compartimentées, les utilisateurs partageaient les mots de passe au niveau de l'administrateur système, il n'y avait pas de contrôle efficace des supports amovibles et les données historiques étaient disponibles indéfiniment », indique le rapport. « En outre, CCI s'est concentré sur la construction de cyberarmes et a négligé de préparer également des packages d'atténuation si ces outils étaient exposés », ajoute-t-il.

Le matériel publié par WikiLeaks en 2017 suggérait que la CIA était parmi les entités menant le plus d’opérations de piratage informatique du monde, se faufilant dans les téléphones et les téléviseurs de haute technologie pour espionner les gens du monde entier. Les informations publiées par WikiLeaks dans le cadre de la série Vault 7 contenaient des notes sur la façon dont l'agence aurait ciblé des individus par le biais de logiciels malveillants et de piratage physique sur des appareils tels que des téléphones, des ordinateurs et des téléviseurs.

Pour cacher ses opérations, la CIA a régulièrement adopté des techniques qui permettaient à ses hackers de se faire passer pour des Russes, selon les documents publiés par WikiLeaks. Les responsables américains avaient alors vite fait de signaler à la presse que toute collecte de renseignements utilisant les types d'opérations décrits dans les documents est légale contre les cibles à l'étranger. Les responsables ont également averti que certains documents décrivent des programmes encore en cours d'élaboration par la communauté du renseignement.

À l'époque, WikiLeaks a affirmé que la quasi-totalité de l'arsenal de la CIA de cyberarmes violant la vie privée avait été volé, et les outils sont potentiellement entre les mains de criminels et d'espions étrangers.

Alors que le groupe de travail de la CIA responsable du rapport de 2017 a formulé plusieurs recommandations pour remédier à ces défaillances de sécurité, certains législateurs sont toujours préoccupés par le fait que la communauté du renseignement reste vulnérable à des violations de la sécurité de cette nature.

« Les pratiques de cybersécurité laxistes documentées dans le rapport du WikiLeaks Task Force de la CIA ne semblent pas être limitées à une seule partie de la communauté du renseignement », a écrit Wyden, ajoutant qu'il estimait que cette violation devait faire l’effet d’une « piqûre de réveil » en offrant une occasion de corriger « les déséquilibres et défaillances de longue date ».

« Trois ans après la présentation de ce rapport, la communauté du renseignement est toujours à la traîne et n'a même pas adopté les technologies de cybersécurité les plus élémentaires largement utilisées ailleurs au sein du gouvernement fédéral », a-t-il regretté.

Wyden a demandé que Ratcliffe lui fournisse des réponses non classifiées à une série de questions liées à la mise en œuvre de pratiques de cybersécurité au sein de la communauté du renseignement d'ici le 17 juillet 2020.

Les pratiques laxistes de la CIA en matière de cybersécurité ont également été mises en évidence devant un tribunal fédéral plus tôt cette année lors du procès de Joshua Schulte, l'ancien employé de la CIA, accusé d'avoir remis des rames de données classifiées à WikiLeaks en 2016.

Le rapport de la CIA d'octobre 2017 a été présenté comme preuve lors du procès et les avocats de Schulte ont fait valoir que la sécurité du système était si médiocre que les informations auraient pu être consultées par un grand nombre d'employés.

En mars, un grand jury fédéral à New York n'est pas parvenu à un verdict sur la question de savoir si Schulte avait effectivement donné les données à WikiLeaks. Les procureurs ont déclaré qu'ils avaient l'intention de juger Schulte de nouveau cette année, selon le Washington Post.

Source : Ron Wyden

Et vous ?

Qu'en pensez-vous ? L'accent dans les agences nationales de renseignements devrait-il être mis sur la sécurité des outils développés ou sur le déploiement desdits outils ? Dans quelle mesure ?
« Trois ans après la présentation de ce rapport, la communauté du renseignement est toujours à la traîne et n'a même pas adopté les technologies de cybersécurité les plus élémentaires largement utilisées ailleurs au sein du gouvernement fédéral », comment pouvez-vous expliquer ce constat  ?

[marsupial]

Trump a demandé un inventaire des failles ( source Ars Technica ) lors de son investiture. Le journaliste Sean Gallagher, ancien du génie de la marine ayant contribué à plusieurs systèmes, évoque en terme de délai l'unité du siècle pour toutes les combler. Les Etats-Unis disposent de 4 millions d'espions répartis dans les différentes agences. Dis moi qu'il y a 4 millions de personnes affectés aux Etats-Unis à la sécurité de leur SI. En terme de budget, la seule NSA dispose de 75 milliards de dollars annuel. Dis moi s'il y a autant affecté à la sécurité de leur SI.

Je crains que tu te trompes lourdement. Je ne dis pas que le Pentagone est moins sécurisé que les impôts dont le système coûte excessivement cher en maintenance car date des années 70 mais cela n'a pas empêché la fuite de l'intégralité de la base des personnels employés par le gouvernement y compris toutes les informations confidentielles des affectations des 4 millions d'espions, des militaires, des diplomates, etc... entraînant l'évacuation d'urgence de Chine de l'ensemble des agents de la CIA infiltrés. Toujours source Ars Technica.

Les Etats-Unis sous couvert de 11 septembre ont mis un place un système ultra offensif en négligeant le côté défensif. Les révélations de Wikileaks ne font que confirmer cet état de faits.

La mentalité qui prévaut encore et toujours depuis 40 ans : tu détectes une faille, tu es un pirate. Pour preuve, Sophos a mené un audit du Pentagone. Le rapport est purement et simplement parti aux oubliettes. Source Ziff Davis.

edit : et tu verras, cette mentalité d'exploiter les failles en lieu et place de les signaler afin d'être corrigées va nous retomber sur le coin de la figure maintenant que leurs outils sont dans la nature. Parce que wikileaks détient une grande partie mais pas l'intégralité des outils donc toutes ne seront pas colmatées.

Entre temps, il y a eu WannaCry et NotPetya.

« Trois ans après la présentation de ce rapport, la communauté du renseignement est toujours à la traîne et n'a même pas adopté les technologies de cybersécurité les plus élémentaires largement utilisées ailleurs au sein du gouvernement fédéral », comment pouvez-vous expliquer ce constat ?

Cela nécessite un rééquilibrage de leur budget entre offensif et défensif qui n'a toujours pas été fait depuis 3 ans. Peut-être faudrait-il une nouvelle catastrophe d'envergure pour les convaincre de freiner un peu sur l'offensif, ou leur démontrer qu'ils ont désormais plus à perdre qu'à gagner en maintenant une stratégie tout offensif.

[Anthony]

Un ancien ingénieur logiciel de la CIA a été condamné à 40 ans de prison pour avoir livré des secrets à WikiLeaks, ainsi que pour espionnage, fausses déclarations au FBI et pornographie enfantine

Un ancien ingénieur logiciel de la CIA a été condamné à 40 ans de prison ce jeudi 1 février après ses condamnations pour ce que le gouvernement a décrit comme le plus grand vol d'informations classifiées dans l'histoire de la CIA, et pour la possession d'images et de vidéos d'abus sexuels sur des enfants.

La majeure partie de la peine imposée à Joshua Schulte, 35 ans, devant le tribunal fédéral de Manhattan, a été prononcée pour la diffusion publique embarrassante d'un ensemble de secrets de la CIA par WikiLeaks en 2017. Il est incarcéré depuis 2018.

"Nous ne connaîtrons probablement jamais l'étendue totale des dommages, mais je ne doute pas qu'ils aient été considérables", a déclaré le juge Jesse M. Furman en annonçant la sentence.

La fuite dite Vault 7 a révélé comment la CIA a piraté des smartphones Apple et Android dans le cadre d'opérations d'espionnage à l'étranger, ainsi que des efforts visant à transformer des téléviseurs connectés à Internet en dispositifs d'écoute. Avant son arrestation, M. Schulte avait participé à la création des outils de piratage en tant que codeur au siège de l'agence à Langley, en Virginie.

En demandant une peine de prison à perpétuité, le procureur adjoint David William Denton Jr. a déclaré que M. Schulte était responsable des "divulgations d'informations classifiées les plus préjudiciables de l'histoire des États-Unis".

Lorsqu'il a eu l'occasion de s'exprimer, M. Schulte s'est surtout plaint des conditions de détention difficiles au Metropolitan Detention Center de Brooklyn, appelant sa cellule "ma cage de torture".

Mais il a également affirmé que les procureurs lui avaient proposé un accord qui prévoyait une peine de 10 ans de prison et qu'il était injuste qu'ils demandent maintenant une peine de prison à perpétuité. Il a déclaré qu'il s'était opposé à cet accord parce qu'il aurait dû renoncer à son droit de faire appel.

"Ce n'est pas la justice que le gouvernement recherche, mais la vengeance", a déclaré M. Schulte.

Immédiatement après, le juge a critiqué certains des propos tenus par M. Schulte pendant une demi-heure, se déclarant "stupéfait" par "l'absence totale de remords et d'acceptation de la responsabilité" de M. Schulte.

Le juge a déclaré que Schulte n'était "pas animé par un quelconque sentiment d'altruisme", mais qu'il était au contraire "motivé par la colère, la rancune et la perception d'un grief" contre d'autres personnes de l'agence qui, selon lui, avaient ignoré ses plaintes concernant l'environnement de travail.

Furman a déclaré que Schulte avait poursuivi ses crimes derrière les barreaux en essayant de faire fuir d'autres documents classifiés et en créant un fichier caché sur son ordinateur qui contenait 2 400 images d'abus sexuels sur des enfants qu'il continuait à visionner depuis la prison.

Au cours d'une audience de deux heures, M. Furman a pris connaissance d'une lettre d'une page transmise par le gouvernement et émanant du directeur adjoint de la CIA, David S. Cohen, qui décrivait les crimes de M. Schulte comme ayant causé "un préjudice exceptionnellement grave à la sécurité nationale des États-Unis et à la CIA".

Il ajoute : "Ses actions ont coûté à l'Agence des centaines de millions de dollars ; elles ont dégradé sa capacité à collecter des renseignements étrangers contre les adversaires de l'Amérique ; elles ont mis directement en danger le personnel, les programmes et les biens de la CIA ; et elles ont mis en péril la sécurité nationale des États-Unis en dégradant la capacité de la CIA à mener à bien sa mission. En bref, les actions de M. Schulte ont coûté cher aux États-Unis."

Un vice de procédure a été déclaré lors du procès initial de M. Schulte en 2020, les jurés s'étant retrouvés dans l'impasse sur les chefs d'accusation les plus graves, notamment la collecte et la transmission illégales d'informations relatives à la défense nationale. Il a été condamné lors d'un procès en juillet 2022 pour des accusations liées à la fuite d'informations classifiées.

À l'automne dernier, il a été condamné dans l'affaire des images d'abus sexuels sur des enfants, qui a débuté lorsqu'un ordinateur que Schulte possédait après avoir quitté la CIA et déménagé de Virginie à New York s'est avéré contenir les images et les vidéos qu'il avait téléchargées sur l'internet entre 2009 et mars 2017.

Le juge a décrit ce procès comme "un bain de sang" dans lequel "M. Schulte n'avait aucune défense".

Pourtant, a noté M. Furman, M. Schulte n'a pas non plus été en mesure d'exprimer des remords pour ces crimes.

Furman a précisé que la majeure partie de la peine de 40 ans était liée au vol de la CIA, tandis que six ans et huit mois étaient consacrés aux condamnations pour les documents relatifs aux abus sexuels commis sur des enfants.

Dans un communiqué, le procureur Damian Williams a déclaré que Schulte avait "trahi son pays en commettant certains des crimes d'espionnage les plus effrontés et les plus odieux de l'histoire américaine".

"Lorsque le FBI l'a attrapé", a poursuivi M. Williams, "M. Schulte a redoublé d'efforts et a tenté de causer encore plus de tort à notre pays en menant ce qu'il décrit comme une "guerre de l'information" consistant à publier des informations top secrètes depuis l'arrière des barreaux."

Source : Cour fédérale de Manhattan

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

Vault 7 : un ancien agent de la CIA a été accusé d'avoir divulgué des informations, sur les outils d'espionnage de la CIA à WikiLeaks

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp

[Ryu2000]

Quel est votre avis sur le sujet ?

Les lanceurs d'alerte prennent cher.
C'est très dissuasif.

Il est extremement dangereux de donner des preuves de crimes réalisés par ton pays (surtout si t'es étasunien).

[Prox_13]

Quel est votre avis sur le sujet ?

Une honte internationale. Si les Russes n'avaient explosé leur réputation, cette décision de "justice" aurait été leur meilleur coup de pub.
Mais quelle honte, franchement ! 40 ans de prison !!!

La fuite dite Vault 7 a révélé comment la CIA a piraté des smartphones Apple et Android dans le cadre d'opérations d'espionnage à l'étranger, ainsi que des efforts visant à transformer des téléviseurs connectés à Internet en dispositifs d'écoute. Avant son arrestation, M. Schulte avait participé à la création des outils de piratage en tant que codeur au siège de l'agence à Langley, en Virginie.

Dispositif qui a couté plus de 100.000.000$ à mettre en place, aux frais du contribuable américain !!!

En somme, ils ont volé 100 millions de dollars pour espionner les citoyens et si y'a un qui moufte, il prend le reste de sa vie en taule ! Non mais ce scandale !

"[Schulte a] trahi son pays en commettant certains des crimes d'espionnage les plus effrontés et les plus odieux de l'histoire américaine"

Non mais vous voulez qu'on parle des crimes d'espionnage les plus effrontés de l'histoire américaine ?! Comme le programme PRISM qui consistait a laisser l'Europe drainer les données américaines pour que les services secret américains puissent accéder aux informations sans être légalement responsable de les avoir espionnés !?! Non parce ce viol a ciel ouvert de la vie privée de millions de personnes n'a été révélé que GRACE à un effronté odieux qui les a leaké ! Et de surcroit, il les a leaké 6 ans après !

(Ah, je suis vert )

[Aiekick]

mouais alors le coup de la pronograhie infantine, j'y croit pas une seule seconde. c'est une habitude des usa de salir leur prisonniers par pure vengeance.
je me rappelerais toujous quand il avaient soit disant tué ben laden, et soit disant retrouvé chez lui des videos de porno infantine. ca sentait vraiment louche et plutot destiné a enerver le camps d'en face. je me rappelle la gene de claire chazal en devant annoncer ca à la télé alors que si peu credible.. haha

lui la, il lui ont promis 10 ans s'il signait des aveux en abandonnant son droit de faire appel. il avaient fait la meme chose a pêrrucci (le directeur alston), et il avait signé les aveux sur cette promesse alors qui'l ne se sentait pas coupable et les usa n'avaient pas tenu compte de leur parole et avait enfoncé le clou..

force a ce lanceur d'alerte. le agences et la justice americaines sont des pourris

[OrthodoxWindows]

mouais alors le coup de la pronograhie infantine, j'y croit pas une seule seconde. c'est une habitude des usa de salir leur prisonniers par pure vengeance.
je me rappelerais toujous quand il avaient soit disant tué ben laden, et soit disant retrouvé chez lui des videos de porno infantine. ca sentait vraiment louche et plutot destiné a enerver le camps d'en face. je me rappelle la gene de claire chazal en devant annoncer ca à la télé alors que si peu credible.. haha

Je me suis dit exactement la même chose ; cette accusation c'est le truc parfait (surtout aux USA) pour tenter de maquiller aux yeux de l'opinion publique un procès dégueulasse. Bon là c'est tellement grossier que tout le monde n'y croira pas aux USA, et presque personne à l'étranger.

D'ailleurs je ne savais pas pour Ben Laden, décidément certains américains on vraiment un problème avec ça ; le type commandite des attentats tuant 2 977 personnes, mais le "plus grave" reste de la pornographie enfantine sur son ordi
Assez pathétique.