La semaine passée, on apprenait coup sur coup la condamnation de l’auteur d’un vol de failles de sécurité « 0days » développées pour la NSA et ses partenaires. Puis que Coruna, un logiciel espion contenant des vulnérabilités préalablement exploitées par la NSA pour espionner des iPhone, avait été récupéré par un service de renseignement russe pour infecter des terminaux ukrainiens, puis des cybercriminels chinois pour voler des cryptoactifs.

Peter Williams, directeur général de Trenchant, un vendeur américain de failles de sécurité susceptibles d’être exploitées par les services de renseignement techniques, filiale du marchand d’armes L3Harris, vient en effet d’être condamné à sept ans de prison pour en avoir volé huit, et les avoir vendues à son principal concurrent russe, Operation Zero, pour 1,3 million de dollars.

Le Bureau du contrôle des avoirs étrangers (OFAC) du département du Trésor américain avait précisé qu’ « Opération Zero a ensuite vendu ces outils volés à au moins un utilisateur non autorisé ».

Google a par ailleurs découvert que Coruna, le logiciel espion particulièrement puissant volé à un service de renseignement anglo-saxon, reposait sur pas moins de cinq chaînes d’exploitation iOS complètes et 23 exploits iOS, et qu’il aurait coûté plusieurs millions de dollars en développement.

• USA : 7 ans de prison pour avoir volé, et vendu, des failles « 0days » à un courtier russe
• Des espions russes et cybercriminels chinois ont récupéré un spyware iPhone lié à la NSA

Deux anciens employés de L3Harris ont depuis déclaré au journaliste spécialisé Lorenzo Franceschi-Bicchierai de TechCrunch que Coruna avait été développé, au moins en partie, par la division technologique de piratage et de surveillance de Trenchant.

« Coruna était sans aucun doute le nom interne d’un composant », a souligné un ancien employé de L3Harris, qui connaissait bien les outils de piratage de l’iPhone dans le cadre de son travail chez Trenchant : « j’ai examiné les détails techniques » partagés par Google, et « beaucoup me sont familiers ». 

TechCrunch rappelle que L3Harris vend les outils de piratage et de surveillance de Trenchant exclusivement au gouvernement américain et à ses alliés de l’alliance de renseignement dite « Five Eyes », qui comprend l’Australie, le Canada, la Nouvelle-Zélande et le Royaume-Uni.

Selon les procureurs américains, Williams a reconnu le code qu’il avait écrit et vendu à Operation Zero, qui a ensuite été utilisé par un courtier sud-coréen, note TechCrunch, qui laisse entendre que c’est « peut-être » ainsi que Coruna aurait finalement été racheté par des pirates chinois.

Le chercheur en sécurité Costin Raiu relève que Trenchant a par ailleurs l’habitude d’utiliser des noms d’oiseaux pour désigner les outils qu’il développe. Or, plusieurs des 23 exploits de Coruna portent des noms d’oiseaux, tels que Cassowary, Terrorbird, Bluebird, Jacurutu et Sparrow.

M4K3 4M3r1C4 6r347 4641N

Le nouveau patron de la NSA n’a aucune expertise ni compétence particulière en matière de renseignement technique ni d’informatique. Ancien patron des opérations spéciales du Pacifique, son profil de « chef de guerre » rompu au combat pourrait par contre contribuer à la montée en puissance des capacités cyber offensives de l’US Cyber Command, qu’il dirigera également, et que l’administration Trump appelait de ses voeux.

Le Sénat, contrôlé par le Parti républicain, a confirmé par 71 voix contre 29 la nomination par Donald Trump du général Joshua M. Rudd à la tête de la National Security Agency (NSA) et de l’U.S. Cyber Command (USCYBERCOM), resté vacant depuis un an, rapporte l’agence Reuters.

Nextgov rappelle que Timothy Dean Haugh, son prédécesseur, avait été brutalement débarqué après avoir été accusé par la militante d’extrême droite complotiste Laura Loomer de ne pas être suffisamment loyal envers Donald Trump.

Joshua M. Rudd était depuis 2022 numéro deux du Commandement Indo-Pacifique de l’armée, après avoir dirigé le commandement des opérations spéciales du Pacifique. Et bien qu’il ait aussi été déployé en Afghanistan et en Irak, « il n’a aucune expérience dans le domaine des cyberopérations ou du renseignement d’origine électromagnétique », s’étonne The Record, qui a consacré plusieurs articles à son processus de nomination.

« Il n’est pas qualifié à ce poste », déplore Ron Wyden

Le sénateur démocrate Ron Wyden de l’Oregon, membre éminent du comité du renseignement, écrit dans une lettre adressée à Trump qu’ « il n’est pas qualifié à ce poste », d’autant que « lorsqu’il s’agit de la cybersécurité de ce pays, on n’a tout simplement pas le temps d’apprendre sur le tas. La menace est bien trop urgente pour cela ».

« Pendant des décennies, j’ai eu l’occasion d’être un leader, un consommateur, un facilitateur, un générateur et un intégrateur des capacités opérationnelles et de renseignement de la NSA et du Cyber Command », s’est défendu le lieutenant-général Joshua Rudd dans son discours d’ouverture devant la commission sénatoriale des forces armées, rapporte The Record :

« Je suis convaincu que les talents exceptionnels du CYBERCOM-NSA fourniront d’excellents conseils. Je suis convaincu que, si ma nomination est confirmée, je pourrai continuer à diriger et à permettre à ces deux organisations d’apporter le meilleur soutien possible à nos commandants de combat au sein des forces interarmées, dans leur ensemble. »

Une méconnaissance des droits constitutionnels fondamentaux

Une déclaration d’intention qui n’a pas du tout convaincu Ron Wyden, pour qui « ses réponses aux questions qui lui ont été posées lors de son audition de confirmation, ainsi qu’aux questions écrites, révèlent une méconnaissance des droits constitutionnels fondamentaux incompatible avec le poste auquel il a été nommé », souligne le sénateur démocrate :