Cet été, les pirates n’ont pas cessé d’intensifier leurs efforts. Nous avons vu l’imbattable Apple mettre sa couronne de coté et des institutions telles que London Stock Exchange paralysées par une armée de zombies botnet. Et n’oublions pas le légendaire Œil de Sauron qui, après cinq années de discrétion, a récemment resurgi. Les cybercriminels ont enchainé les attaques et ils ont gardé le meilleur pour la fin.
Le 15 août, un groupe inconnu de hackers, appelé les « Shadow Brokers », a publié en ligne l’arsenal de cyber- armes de la NSA, l’Agence nationale de la sécurité des Etats-Unis.
1. Jeu d’espions : le NSA s’est fait pirater
Cet été, les pirates n’ont pas cessé d’intensifier leurs efforts. Nous avons vu l’imbattable Apple mettre sa
couronne de coté et des institutions telles que London Stock Exchange paralysées par une armée de zombies
botnet. Et n’oublions pas le légendaire Œil de Sauron qui, après cinq années de discrétion, a récemment resurgi.
Les cybercriminels ont enchainé les attaques et ils ont gardé le meilleur pour la fin.
Le 15 août, un groupe inconnu de hackers, appelé les « Shadow Brokers », a publié en ligne l’arsenal de cyber-
armes de la NSA, l’Agence nationale de la sécurité des Etats-Unis. Dérobés par des moyens connus seulement
par les parties concernés, ces outils appartiennent à un groupe de pirates travaillant pour l’Agence depuis 2001
(cf. Kaspersky). Surnommé Equation Group, son lien avec la NSA a été confirmé en 2015 par les experts en
sécurité. Lorsque Kaspersky a confronté les algorithmes de chiffrement trouvés dans l’archive des données volées
par les Shadow Brokers, il s’est avéré qu’ils présentaient des similitudes avec ceux utilisés par Equation Group.
L’hypothèse de l’affiliation de ce dernier à l’Agence de la Sécurité Nationale américaine n’en est que plus crédible.
Kaspersky avait aussi repéré la bande de pirates qui s’associe avec la NSA comme étant responsable de la
création du Stuxnet (voir notre articleici), un APT conçu par les États-Unis pour espionner les installations
nucléaires de l’Iran.
Des outils de piratage made in NSA
En ce qui concerne les outils volés, vous allez peut-être rire dans un premier temps, vu les noms improbables
des kits trouvés : EpicBanana, ExtraBacon ou EligibleBachelor, mais ne vous y trompez pas : les vulnérabilités qui
peuvent être exploitées visent des équipements réseau largement diffusés dans le monde, provenant de grands
fabricants comme Cisco et Fortinet. La stratégie de combat de la NSA contre les soi-disant ennemis est plus que
controversée : garder pour eux la connaissance de ces failles afin de créer des points d’entrée sur le terrain
adverse est une manœuvre à double tranchant. Nous ne pouvons pas nous empêcher de revenir sur la
déclaration de Tim Cook, PDG d’Apple, lors du débat créé autours de ce sujet en avril : construire des armes qui
contournent « la sécurité permettrait la création d’une porte dérobée. […] il n’y a aucun moyen de garantir
qu’elle ne finisse pas dans de mauvaises mains ». C’est un peu tard, maintenant.
A l’heure actuelle, Cisco et Fortinet ont déjà confirmé que leurs pare-feu étaient vulnérables face aux outils
communiqués sur Internet par Shadow Brokers. Etant donné que ces équipements sont déployés pour
protéger un grand nombre d’entreprises, une alerte générale a été lancée dès que les fabricants ont confirmé
l’authenticité de ce piratage. L’exploitation de certaines failles permet aux cybercriminels de prendre le contrôle
à distance des équipements de sécurité en question et d’espionner toutes les données entrantes et sortantes
sur le réseau ciblé. C’est pourquoi les organisations sont désormais fortement conseillées de suivre de près les
pages support de Cisco / Fortinet, dans l’attente des correctifs.
Failles 0-day : l’effet boule de neige
En nous basant sur ce que nous savons aujourd’hui, il est facile de s’imaginer comment la fuite des outils de
piratage made in NSA peut provoquer des dommages collatéraux. Leur publication en ligne a marqué un grand
moment de « JACKPOT » pour la communauté de hackers. Des pirates partout dans le monde ont gagné l’accès
2. Un nouveau surnom : ‘Not Secure Agency’
Malgré l’objectif relativement honorable qu’une agence d’espionnage peut avoir dans sa démarche de protéger
la nation et les civils, avoir une arme Toute-puissante en sa possession, alors qu’elle peut tomber dans de
mauvaises mains, n’est qu’une bonne idée en théorie. Si la NSA n’est pas capable de protéger correctement ces
outils de piratage, les conséquences vont impacter les mêmes cibles qu’elle essaye de défendre. Quant à ces
mauvaises mains qui attendent dans les ténèbres, il existe plusieurs hypothèses : soit vraiment le piratage a eu
lieu depuis l’extérieur, soit nous sommes confrontés à une fuite interne, mené par un deuxième Edward Snowden.
En parlant de Snowden, lui aussi vient de formuler sa propre hypothèse sur Twitter, en pointant du doigt les
services de renseignement russes. Enfin, quelle qu’en soit la source, il ne faut pas sous-estimer les cybercriminels,
de plus en plus orientés vers une transformation du modèle criminel en une manière profitable de faire du
business. La stratégie (si elle réussit) vise à être très lucrative dans le cas du groupe Shadow Brokers, qui garde
les « meilleurs » outils pour les vendre au prix d’1 million de bitcoins (ou $580 million USD). En créant ce buzz
négatif autour de l’Agence américaine, ils ont accompli au moins un de leurs objectifs : l’humiliation de la NSA,
désormais baptisé le Not Secure Agency dans la presse internationale. Coincés au milieu de ce Jeu d’espions
dont la mission des deux parties est l’anéantissement de l’adversaire par tous les moyens, nous n’arrivons plus
à identifier le vrai méchant : la NSA, qui nous cache encore des choses, ou les pirates responsables de cette
fuite de cyber-armes ?
Liens :
https://www.reveelium.com/fr/spy-game-how-the-nsa-got-hacked/
https://www.itrust.fr/jeu-d’espions-le-NSA-s’est-fait-pirater