Vendredi, le site WikiLeaks a donc publié le code source des outils du programme Marble Framework que la CIA aurait utilisés l’an dernier. D’après Jake Williams, chercheur en sécurité chez Rendition InfoSec qui a analysé les fichiers, il semble que ces outils utilisent des « techniques d'obfuscation » qui empêchent d’identifier l’origine ou de retracer la provenance du code du malware, et en particulier d’attribuer ce code à la CIA en cas de détection. « Tout hacker, aussi bien ceux qui bénéficient du soutien des gouvernements que les pirates amateurs utilisent ses propres techniques d'obfuscation quand ils développent des logiciels malveillants », a ajouté le chercheur. Mais la fuite de WikiLeaks expose certaines méthodes de la CIA au grand jour. « Les chercheurs en sécurité disposent désormais d’une référence pour savoir si les échantillons d’anciens malwares sont liés ou non à l'agence américaine d'espionnage », a encore déclaré Jake Williams.
WikiLeaks dit exactement la même chose. Mais le site va un peu plus loin dans ses conclusions sur le code source. Selon lui, la CIA pourrait incriminer d'autres états pour ses attaques de malware. WikiLeaks pointe la manière dont les outils de la CIA prennent en charge d'autres langues comme le chinois, le russe, le coréen, l'arabe et le farsi. « Cette structure pourrait permettre au malware de jouer double jeu en cas d’analyse », a déclaré le site. WikiLeaks avance par exemple que la présence de ces langues étrangères permettrait aux chercheurs en sécurité d’attribuer la paternité des logiciels malveillants développés par la CIA à d'autres pays. Mais Jake Williams ne croit pas à cette analyse. « C'est ridicule et tout à fait inexact », a-t-il commenté. « Les outils destinés à masquer certaines données sont réellement conçus pour dissimuler la présence d'un code informatique écrit en langues étrangères et pour ne pas le révéler », a déclaré le chercheur.
Le travail d'espionnage de la CIA perturbé
La présence de ces langues est néanmoins importante. Elle indique, peut-être, que l'agence a ciblé des ordinateurs depuis la Russie ou de la Chine. Pour pirater ces systèmes, la CIA a dû sans doute inclure une langue russe ou chinoise dans le logiciel malveillant. « Mais si cette information n’est pas masquée, n’importe quel analyste en sécurité qui décortique le malware saura que l’auteur essaye d’inclure du code qui ne lui appartient pas », a encore déclaré le chercheur. Ce n'est pas la première fois que les affirmations de WikiLeaks suscitent des interrogations. Certains chercheurs en sécurité ont déjà dit que le site avait exagéré les capacités de piratage de la CIA depuis la publication de ces fichiers.
La CIA n'a pas réagi à la mise en ligne de ce code source. Mais, en supposant que les fichiers sont bien réels, les chercheurs en sécurité pensent qu'ils vont probablement perturber le travail d'espionnage de l'agence. « C'est l'une des fuites les plus préjudiciables jamais réalisées par WikiLeaks », a déclaré Nicholas Weaver, chercheur pour le Computer Science Institute de l'Université de Berkeley, Californie. De plus, les pirates informatiques vont pouvoir s’inspirer de ce code source pour masquer le code de leurs propres logiciels malveillants. « Désormais, n'importe qui peut créer des logiciels malveillants qui auront l’air de provenir de la CIA », a déclaré Jake Williams.