Au moins 180 Go et jusqu'à 34 To d'informations. Telle est la fourchette - large - de données internes volées à la CIA par l'un de ses anciens employés Joshua Schulte, comme l'indique officiellement un rapport de la CIA - largement caviardé par le département américain de la Justice - rendu public par le sénateur Ron Wyden. Ce rapport est présenté comme élément de preuve dans le procès visant l'ancien employé de la CIA. Joshua Schulte est actuellement dans le collimateur de la justice américaine. Après avoir été reconnu coupable en mars dernier par un jury fédéral à New York pour outrage au tribunal et mensonge au FBI à l'issue d'un procès de plus d'un mois, les jurés ne sont pas parvenus à se prononcer sur des chefs d'inculpations plus graves comme le transfert illégal d'informations sur la Défense nationale, l'accès non autorisé à des informations classifiées et le vol de biens publics. Un deuxième procès est donc sur les rails et une audience est prévue le 24 juin 2020.

Joshua Schulte a travaillé au sein de l'équipe de développement logiciel EDG (Engineering Development Group) dans l'entité CCI (Center for Cyber Intelligence) de l'agence. Il était directement impliqué dans la conception d'outils de piratage permettant à la CIA d'espionner des entreprises et des organisations. Parmi la masse de données exfiltrées, la description complète de 35 outils de hack. En 2017, Wikileaks avait fait grand bruit en partageant une partie des documents volés par Joshua Schulte, ainsi que des outils de hack directement utilisés par la CIA pour ses opérations d'espionnage ou encore ses méthodes pour masquer ses opérations de piratage et d'attaques par logiciels malveillants.

Un constat sans fard sur un manque de protection et de cybersécurité

Ces opérations de la CIA auraient pu rester secrètes si des mesures de protection et cybersécurité suffisantes avaient été mises en place. Or, le rapport de l'agence publié par Ron Wyden montre qu'aucun véritable garde-fou pour éviter les fuites n'avait été déployé. « Nous devons nous soucier autant de la sécurité de nos systèmes que de leur fonctionnement si nous voulons faire le changement révolutionnaire nécessaire », peut-on lire dans le rapport. « Nous n'avons pas équipé le système de mission en question de surveillance de l'activité des utilisateurs ni de capacités d'audit de serveur robuste qui auraient pu dissuader, détecter et éventuellement empêcher le vol. Nous n'avons pas accordé à un seul agent la capacité de garantir que tous les les systèmes d'information sont construits en toute sécurité et le restent tout au long de leur cycle de vie. Parce que personne n'avait cette capacité, personne n'était responsable et le système de mission en question, comme d'autres, manquait de sécurité appropriée. Nous n'avons pas réussi à garantir que notre capacité à sécuriser nos systèmes d'information contre les menaces émergentes suive la croissance de ces systèmes dans l'ensemble de l'Agence. Nous n'avons pas reconnu ou agi de manière coordonnée sur les signes avant-coureurs qu'une personne ou des personnes ayant accès aux informations classifiées de la CIA représentaient un risque inacceptable pour la sécurité nationale ».

Pour éviter les fuites et vols de données, plusieurs recommandations ont été émises comme l'amélioration des directives en matière de sécurité des technologies de l'information et d'informations classifiées, des exploits zero-day et des outils de cybersécurité. Parmi les autres recommandations figurent également la segmentation des connaissances, des outils et des personnes par le biais physique et logique, l’infrastructure, des contrôles de gouvernance et de procédures, et l’application d’un accès strict au besoin aux outils et exploits. A noter qu'il s'agit là seulement des recommandations « en clair », les plus importantes.

Depuis les révélations de Joshua Schulte et Wikileaks, la CIA a certainement travaillé d'arrache-pied pour sécuriser ses opérations et éviter les fuites autant que les vols de données. Mais comme toujours en cybersécurité, aucune entreprise et organisation ne peut se considérer comme à l'abri, pas même la plus célèbre agence de renseignement au monde.