Les informaticiens de la CIA sont (aussi) des geeks comme les autres : capables d'embarquer dans un de leurs programmes une image tirée de la bande dessinée Calvin et Hobbes, qui montre le petit héros, affolé, griffonnant sa copie en quatrième vitesse pendant une interrogation écrite… Image qu'on découvre, en l'espèce, dans le code source d'un logiciel nommé «Scribbles» ‒ «griffonnages» en VF ‒ dont WikiLeaks révèle ce vendredi l'existence et le fonctionnement, via une série de documents (code source et mode d'emploi notamment) que Libération, Mediapart et le quotidien italien la Repubblica ont pu consulter.
A lire aussi :WikiLeaks : CIA, des yeux derrière l'écran
Objectif de cet outil, déployé début 2016 : permettre à l’agence américaine de détecter si des documents internes créés avec les logiciels de bureautique de Microsoft (Word, Excel, PowerPoint…) sont sortis de ses murs et tombés dans des mains non autorisées. Et, selon toute vraisemblance, de pister les fuites.
Tatouages numériques
Le but du dispositif est clairement décrit dans une fiche dite d'«examen opérationnel» datée du 30 avril 2015, moment où «Scribbles» a été finalisé et soumis à un processus de validation qui a duré quelques mois. Ladite fiche émane du bureau chargé du développement des outils informatiques au sein du Centre pour le cyber-renseignement, la division de la CIA dédiée aux activités de cyberespionnage – d'où proviennent les documents publiés depuis le 7 mars par l'organisation de Julian Assange sous le nom de code «Vault 7». «Scribbles» est décrit comme un outil de «traitement par lots», qui génère des «tatouages» (ou «filigranes») numériques et les insère «dans des documents qui sont apparemment volés par des agents de renseignement étrangers».
Le mode d'emploi de la première version du logiciel, lui, est daté du 1er mars 2016, période à laquelle «Scribbles» a donc été déployé dans l'agence. Son fonctionnement, tel qu'on peut l'analyser à partir de ces quelques pages d'instructions et du code source, est à la fois relativement simple et astucieux. A l'intérieur d'un fichier (texte, présentation, feuille de calcul…) créé avec Microsoft Office, le logiciel «tatoue» une adresse web (URL) qui, à l'ouverture du document, va «appeler» sur un serveur mis en place par la CIA une image minuscule et invisible ‒ un pixel en hauteur et en largeur, explique à Libération Jef Mathiot, ingénieur en informatique et contributeur du site Reflets.info.
«Quand une personne ouvre le document, ce dernier fait appel à l'URL avec un identifiant unique», poursuit Jef Mathiot. L'utilisateur qui ouvre le fichier ne repérera pas ce pixel espion qui s'affiche ; de son côté, en surveillant les connexions au serveur, l'agence américaine peut savoir non seulement qu'un document a été consulté hors de ses murs, mais aussi, grâce à cet identifiant unique, sur quel poste informatique il a été prélevé. Les éléments publiés par WikiLeaks ne permettent pas de savoir si, au passage, la CIA récupère les adresses IP d'où proviennent les connexions, mais on peut raisonnablement le supposer ‒ auquel cas, elle peut suivre à la trace un document ainsi tatoué, à moins que la personne qui le consulte n'utilise un outil d'anonymisation en ligne.
Adresses web «mouchardes»
En 2015 et début 2016, «Scribbles» avait été testé «avec succès» pour le système d'exploitation Windows 8.1 et les versions de Microsoft Office allant de 1997 à 2016, indique le mode d'emploi. Pour autant, le logiciel a ses limites. Si l'utilisateur qui ouvre un document tatoué n'est pas connecté à Internet, le pixel espion ne sera pas téléchargé, et l'adresse web «moucharde» deviendra visible à l'écran. Ce qui peut également se produire si le document est ouvert avec d'autres logiciels que ceux de Microsoft, comme les suites bureautiques LibreOffice ou OpenOffice.
A lire aussi :WikiLeaks et des antivirus démasquent la CIA derrière un logiciel espion
Tant la fiche d'«examen opérationnel» que le mode d'emploi insistent donc sur la nécessité pour l'agence d'utiliser des URL qui soient «en cohérence logique» avec le contenu des documents, afin de ne pas alerter les cibles sur la véritable raison de la présence, le cas échéant, de ces adresses web. Autre problème signalé par les concepteurs de «Scribbles» : l'ouverture d'une présentation PowerPoint peut entraîner l'apparition d'un message d'avertissement sur la présence d'images externes, ce qui peut, là encore, mettre la puce à l'oreille du lecteur.
Les documents publiés par WikiLeaks indiquent par ailleurs que le programme lui-même est «sensible», mais pas classifié. Il n'en va pas de même pour son mode d'emploi, classé «secret» et destiné à le rester pendant cinquante ans.
L'agence américaine n'ayant pas pour habitude de s'épancher, on ne saura peut-être jamais si «Scribbles» a pu lui permettre de détecter la «fuite» massive par laquelle on découvre aujourd'hui l'existence de ce logiciel. En tout état de cause, s'il est décrit comme un moyen de lutter contre les activités d'espionnage orchestrées par des puissances étrangères, une préoccupation constante des services de renseignement, on peut aussi y voir un outil pour parer à des «leaks» internes initiés par des lanceurs d'alerte, question qui taraude particulièrement les agences américaines depuis l'affaire Snowden. Lui comme les journalistes avec lesquels il a collaboré n'ont d'ailleurs jamais fait mystère des précautions qu'ils prenaient pour travailler sur les documents de la NSA, la première d'entre elles étant d'utiliser des ordinateurs non connectés à Internet ou dont la connexion était anonymisée…