Surveillance : les MacBook d’Apple dans le collimateur de la CIA

WikiLeaks avait annoncé la couleur au moment de publier, début mars, plus de 8 000 fichiers décrivant des méthodes de piratage exploitées par la CIA pour infiltrer les systèmes IT et espionner les internautes : d’autres révélations allaient suivre.

Le média de Julian Assange vient effectivement de mettre en ligne une nouvelle série de documents, baptisée « Dark Matter » (matière noire)… et qui concerne exclusivement Apple.

Lumière est faite, entre autres, sur le projet « Sonic Screwdriver ».

Un document daté de novembre 2012 en résume l’objectif : modifier le firmware d’un périphérique (en l’occurrence, un adaptateur Apple Thunderbolt – Ethernet) pour pouvoir démarrer depuis un média de stockage externe en contournant le mot de passe éventuellement paramétré pour protéger le chargeur d’amorçage.

Le code logé dans l’adaptateur parcourt l’ensemble des supports de stockage (système de fichiers NTFS non pris en charge) jusqu’à trouver un volume nommé FILER. Si la recherche est fructueuse, le démarrage est enclenché.

Cette technique peut permettre d’installer le malware Triton et sa version persistante DerStarke (« le costaud » en allemand), qui résiste aussi bien aux redémarrages qu’à l’effacement du disque dur. Pour davantage de discrétion, les données aspirées sont transmises vers un serveur distant sur protocole HTTP.

Puissance 3

On retrouve cette caractéristique chez DarkSeaSkies.

Résistant également à une réinstallation de l’OS, mais pas à une mise à jour du firmware, cet implant se compose de trois outils : DarkMatter, SeaPea et NightSkies.

Le premier se loge au niveau de l’EFI. Il permet l’installation du second dans le noyau, puis celle du troisième dans l’espace utilisateur.

DarkSeaSkies est capable de déterminer si son exécution cause un kernel panic. Dans ce cas, il efface les variables NVRAM concernées pour ne pas éveiller les soupçons. Le chargement de SeaPea en RAM ne se fait que si cette première étape est concluante. NightSkies est ensuite écrit dans un fichier temporaire, puis supprimé après exécution.

DarkSeaSkies est par ailleurs conçu pour s’autodétruire sous certaines conditions : trois kernel panics consécutifs, un autre OS démarré cinq fois d’affilée ou encore l’impossibilité de communiquer avec le serveur distant depuis plus de 180 jours (ce qui signifie qu’on peut l’éliminer en avançant l’horloge système, comme le reconnaît la CIA).

L’agence de renseignement parle aussi, de façon brève dans un document de 2009, d’une déclinaison de NightSkies pour iPhone, toutefois sans persistance ni discrétion.