La CIA a un « tournevis sonique » qui lui permet d’installer des logiciels espions dans le firmware des Mac, selon les dernières révélations de WikiLeaks. Ce « Sonic Screwdriver » (l’outil à tout faire du Dr Who) prend la forme d’une clé USB qui, une fois branchée sur le Mac de la victime, déploie son code malveillant lors du démarrage de la machine.
[MàJ le 24/03] : Les dernières informations de Wikileaks sont périmées, affirme Apple
Il est donc impératif d’avoir un accès physique au Mac pour l’infecter. Mais une fois que c’est fait, il est impossible de se débarrasser du mécanisme de surveillance de ce tournevis, y compris quand l’ordinateur est protégé par un mot de passe… et même après réinstallation de macOS.
Cette attaque, mise au point par les services de l’Embedded Development Branch de la CIA, se niche dans une version modifiée du firmware de l’adaptateur Thunderbolt vers Ethernet. L’objectif, bien sûr, est d’obtenir un maximum d’informations provenant du Mac infecté sans que l’utilisateur ne se doute de rien. Ce débat logiciel semble remonter à quelques années où plusieurs failles de ce type avaient été repérées puis corrigées.
Avec DarkSeaSkies, la CIA a exploité des failles lui permettant d’installer les malwares DarkMatter (EFI), SeaPea (kernel) et NightSkies (données de l’utilisateur). Ces programmes existent depuis au moins 2010 et l’agence les met à jour régulièrement. Le Mac n’est pas la seule victime du jour : iOS fait aussi partie du lot, avec la révélation de plusieurs vulnérabilités utilisées par la CIA comme NightSkies qui a été mis au point dès 2008, un an seulement après la sortie de l’iPhone ! L’installation de ce logiciel espion doit toutefois se réaliser durant la production du smartphone.
Ces informations font partie de « Dark Matter », la nouvelle fournée de documents mis en ligne par WikiLeaks dans le cadre du feu roulant de révélations issues de « Vault 7 », un « coffre » contenant des milliers de documents confidentiels de la CIA. La première livraison, baptisée « Year Zero », date de début mars. Il y était déjà question d’Apple (lire : Vault 7 : WikiLeaks dévoile que la CIA a accès à nos iPhone et nos Mac), qui avait affirmé quelques heures plus tard que la plupart des failles exploitées par la CIA avaient été bouchées.
