L’Agence centrale de renseignement des États-Unis (CIA) utilise tout ce qu’elle peut pour pratiquer l’espionnage, y compris les réseaux Wi-Fi de nos foyers. Il s’agit de la dernière fuite du programme Vault 7, dans laquelle Wikileaks rapporte que l’entité a installé un logiciel appelé Cherry Blossom dans plusieurs modèles de routeurs pour intercepter les données.
Selon WikiLeaks, Cherry Blossom est en fait une boîte à outils développée en collaboration avec l’Institut de recherche de Stanford et comportant plusieurs versions, une pour chaque type de routeur ou de marque. Des kits ont été identifiés pour Asus, Belkin, D-Link, Linksys, Netgear, US Robotics, entre autres fabricants. La liste complète est disponible ici (PDF).
L’un des éléments du kit est FlyTrap, le logiciel qui est installé dans le routeur. Il est basé sur le micrologiciel original de l’équipement, mais avec l’ajout des ressources utilisées par la CIA. Lorsqu’il est activé, FlyTrap se connecte à un serveur distant appelé CherryTree pour recevoir des commandes.
Les agents de la CIA, à leur tour, doivent accéder à CherryWeb – une sorte de panneau de contrôle – pour donner les commandes, qui comprennent la collecte des adresses IP, la capture des messages électroniques, l’accès au réseau géré par le routeur, etc. De toute évidence, tout a été prévu pour que l’utilisateur ne remarque pas ce qui se passe.
Pour installer FlyTrap, la CIA a eu recours à plusieurs tactiques. La plus récurrente a été l’exploitation des failles de sécurité dans les routeurs. Dans d’autres cas, l’agence a pu d’une manière ou d’une autre interférer avec le processus de mise à jour du micrologiciel. L’installation pourrait également être faite manuellement par un agent.
Le manuel décrivant la Fleur de Cerisier est d’août 2012. Il n’est pas clair si la CIA a continué à utiliser le logiciel après cette année ou si elle l’a transformé en un ensemble d’outils plus sophistiqués.
Il est clair que la CIA n’a pas utilisé Cherry Blossom pour de l’espionnage de masse. Comme il s’agit d’une opération laborieuse – l’agence elle-même reconnaît que les fréquentes mises à jour des microprogrammes et du matériel des routeurs rendent le processus difficile – les actions ne visaient que des personnes spécifiques.
WikiLeaks n’a pas publié le code source de Cherry Blossom.