On parle de cyber armes quand même, c'est-à-dire de code logiciel qui rentre comme dans du beurre dans n’importe quel système, comme dans le cas du rachat d’Alstom, où le gouvernement américain avait tous les emails internes de la boîte.
En tout cas, ça montre bien les activités logicielles des Américains (comme des Israéliens), et tout ceci n’est possible qu’avec la complicité active de la société Microsoft.
Et c’est à eux que l’on confie nos données de santé… Comme on vous le dit, les autorités n'ont pas seulement capitulées comme en 1944, mais en plus, ils organisent et participent à la vente à la découpe de notre pays et de nos intérêts communs ... à des intérêts étrangers.
Lindsey O'Donnell
Une enquête interne sur la brèche de la CIA en 2016 a condamné les mesures de sécurité de l'agence, déclarant qu'elle "se concentrait plus sur la construction de cyber-outils que sur leur sécurité".
Un rapport qui vient d'être publié sur la brèche dans les données de la CIA de 2016, qui a conduit au dépôt du document Vault 7 sur WikiLeaks, blâme le "terriblement laxisme" de la sécurité par l'agence d'espionnage la plus importante du pays.
Les conclusions font partie d'un rapport interne du ministère de la Justice (DoJ) de 2017 sur la brèche de la CIA. Mardi, le sénateur Ron Wyden a publié des parties du rapport (PDF) qui ont été rendues publiques par le biais de récents documents judiciaires du ministère de la Justice.
Le rapport décrit la CIA comme étant "plus axée sur la création de cyber-outils que sur leur sécurisation". Une partie de l'enquête a révélé que les cyberarmes sensibles n'étaient pas compartimentées et que les chercheurs en cybersécurité du gouvernement partageaient des mots de passe de niveau administrateur de systèmes. Les systèmes contenant des données sensibles n'étaient pas équipés d'un système de surveillance de l'activité des utilisateurs et les données historiques étaient disponibles pour les utilisateurs indéfiniment, selon le rapport.
"Dans un souci de répondre aux besoins croissants et critiques de la mission, [la branche du Center for Cyber Intelligence (CCI) de la CIA] avait donné la priorité à la construction de cyberarmes au détriment de la sécurisation de leurs propres systèmes", selon le rapport. "Les pratiques quotidiennes de sécurité étaient devenues terriblement laxistes".
Au moins 180 gigaoctets (jusqu'à 34 téraoctets d'informations) ont été volés lors de la brèche, selon le rapport - ce qui équivaut approximativement à 11,6 millions à 2,2 milliards de pages de documents électroniques. Les données volées comprenaient des cyber-outils qui résidaient sur le réseau de développement de logiciels de l'ICC (DevLAN). La mission de la CCI, qui était visée par la brèche dans les données, est de "transformer le renseignement" par des cyber-opérations.
Le rapport a souligné divers problèmes de sécurité découverts au sein de l'ICC. Par exemple, alors que le réseau DevLAN de l'ICC avait été certifié et accrédité, l'ICC n'avait pas travaillé à développer ou à déployer un contrôle des activités des utilisateurs ou des capacités "robustes" d'audit des serveurs pour le réseau, selon le rapport.
En raison de ce manque de surveillance et d'audit de l'activité des utilisateurs, "nous n'avons réalisé la perte qu'un an plus tard, lorsque WikiLeaks l'a annoncée publiquement en mars 2017″ en divulguant des trouvailles d'outils de piratage volés de la CIA, selon le rapport. Il a déclaré que si les données n'avaient pas été publiées, l'agence pourrait encore ne pas être au courant de la perte.
"De plus, la CCI s'est concentrée sur la construction de cyber-armes et a négligé de préparer des mesures d'atténuation si ces outils étaient exposés", selon le rapport. "Ces lacunes étaient emblématiques d'une culture qui a évolué au fil des ans et qui a trop souvent donné la priorité à la créativité et à la collaboration au détriment de la sécurité".
Un autre problème est que l'agence n'avait pas "d'agent unique" chargé de veiller à ce que les systèmes informatiques soient construits en toute sécurité et le restent tout au long de leur cycle de vie. Parce que personne n'avait cette tâche, personne n'a été tenu responsable de la violation, selon le rapport. Et il n'y a pas eu de "signes avant-coureurs" indiquant que les initiés ayant accès aux données de la CIA présentaient un risque.
Selon le Washington Post, qui a annoncé la publication du rapport, le rapport du groupe de travail est utilisé comme preuve dans le procès de l'ancien employé de la CIA, Joshua Schulte, qui a été accusé d'avoir volé les outils de piratage de la CIA et de les avoir donnés à WikiLeaks.
Le rapport présente plusieurs recommandations (fortement expurgées) que l'agence doit suivre pour renforcer sa sécurité. Cela inclut le renforcement de ses directives de sécurité et des restrictions de traitement des informations classifiées pour les exploits de type "zero-day" et les cyber-outils offensifs.
Cependant, le sénateur Wyden, membre de la commission sénatoriale du renseignement, a déclaré dans une lettre publique cinglante adressée à John Ratcliffe, directeur du renseignement national, que même trois ans plus tard, la communauté du renseignement américaine a encore du chemin à faire pour améliorer ses pratiques de sécurité.
Par exemple, a-t-il dit, la communauté du renseignement doit encore protéger ses noms de domaine .gov avec une authentification à plusieurs facteurs ; et, la CIA, le Bureau national de reconnaissance et le Bureau national du renseignement doivent encore activer les protections anti-phishing de la DMARC, a-t-il dit.
"Trois ans après la présentation de ce rapport, la communauté du renseignement est toujours à la traîne, et n'a pas réussi à adopter les technologies de cybersécurité les plus élémentaires, largement utilisées ailleurs au sein du gouvernement fédéral", a-t-il déclaré. "Le peuple américain attend de vous que vous fassiez mieux, et il se tournera alors vers le Congrès pour résoudre ces problèmes systématiques."
Fausto Oliveira, architecte principal de la sécurité chez Acceptto, a déclaré à Threatpost que Wyden a "tout à fait raison" de demander pourquoi les pratiques de sécurité standard dans l'industrie ne sont pas adoptées par la CIA.
"Sur la base des conclusions du rapport, il semble qu'il y ait eu un manque de gouvernance en matière de TI et de cybersécurité qui a conduit à une adoption laxiste des contrôles de sécurité", a-t-il déclaré. "Ce n'est pas une question opérationnelle, c'est une question de gestion de l'agence qui ne fixe pas les bons objectifs pour gérer les risques associés au fonctionnement d'une organisation, en particulier une organisation qui est une cible souhaitable pour toutes sortes d'attaquants."
Source : Threatpost.com
