La Minute Led #36

L’imprimante au point d’or !

Cette Minute Led sera un peu plus longue que d’habitude, parce qu’il s’agit d’une traduction d’un article en anglais relativement complexe mais très intéressant dont le lien sera donné plus bas, avec d’autres références. Quant au sous-titre, il s’agit d’une variation du titre d’un James Bond, je vous laisse trouver lequel…

Nous sommes le 05 juin de cet année. The Intercept, un journal en ligne américain fondé après l’affaire Snowden, publie un article dévoilant un rapport de la NSA sur une cyberattaque perpétrée pendant la campagne présidentielle américaine : le GRU, agence de renseignement russe, aurait tout d’abord piraté une entreprise US fabriquant des machines à voter, avant d’utiliser les informations obtenues pour cibler précisément des politiques locaux avec de faux mails les incitant à récupérer un fichier Word vérolé pour installer un virus sur leur machine.

Le même jour, le FBI publiait un communiqué annonçant l’arrestation d’un employé d’un sous-traitant de la NSA, Reality Leigh Winner, pour avoir dévoilé des informations classifiées à un journal en ligne, qui serait évidemment The Intercept.

Mais comment le FBI s’y est-il pris pour arrêter si vite l’agent ? Téléchargeons le PDF, pour voir, et prenons un screen du tout début du document, comme ceci :

Puis, passons à un logiciel de traitement de photos, par exemple Photoshop (marche aussi avec Gimp), et passons l’image obtenue en négatif, de manière à obtenir ceci :

Le pattern est déjà plus visible. Pour l’interpréter, nous utilisons le site de l’EFF pour Electronic Frontier Fondation, une association de défense des libertés sur Internet, à cette adresse : https://w2.eff.org/Privacy/printers/docucolor/#program

Il nous faut recopier le motif dans le cadre en cliquant sur les points jaunes. Une fois la recopie terminée, vous obtenez l’interprétation en appuyant sur submit :

J’ai commis une erreur dans le motif, ce qui entraîne deux suggestions de la part du programme :

Printer serial number: 535218 [or 29535218]
Date: May 9, 2017
Time: 06:36
Column 15 value: 54

Il n’empêche, les valeurs autres sont correctes : le FBI indique que l’agent a imprimé les documents le 9 mai, soit la valeur que nous trouvons. Par la suite, avec le numéro de série et l’heure, il leur était facile d’identifier l’agent fautif à partir des listings d’impression.

Qu’est-ce que cela signifie pour nous ? Que, comme les scanners peuvent reconnaître le motif des billets pour empêcher la fabrication de fausse monnaie avec, les imprimantes disposent des points jaunes invisibles pour permettre l’identification des documents produits avec. Vous y penserez quand vous volerez des documents à la DGSI pour les envoyer à Mediapart !

L’article original : http://blog.erratasec.com/2017/06/how-intercept-outed-reality-winner.html
L’article de The Intercept : https://theintercept.com/2017/06/05/top-secret-nsa-report-details-russian-hacking-effort-days-before-2016-election/
Un excellent article en français expliquant l’affaire : https://www.nextinpact.com/news/104475-un-rapport-derobe-a-nsa-estime-que-russie-a-essaye-pirater-politiques-americains.htm