Les outils volés à la NSA par les Shadow Brokers a généré un tsunami de piratages sur le web

Sur le web

Par Elodie le

Livré sur la toile, l’arsenal cybernétique de la NSA subtilisé par le groupe de hackers Shadow Brokers a fait des ravages, suscitant une vague de piratages sur la toile.

Ils avaient tiré leur révérence à l’aube de l’intronisation du 45e président des États-Unis en janvier dernier. Déçus par Donald Trump, les Shadow Brokerscourtiers de l’ombre ») ont dévoilé en début de mois de nouveaux outils de surveillance de la NSA subtilisés l’été dernier.

Dans un message à l’anglais trébuchant, le groupe de hackers dénonce tantôt l’éviction de Steve Bannon du Conseil de sécurité nationale, la frappe en Syrie en représailles à l’utilisation d’armes chimiques et l’abandon de « sa base » pour justifier cette nouvelle publication.

« Cher Président Trump,
Respectueusement, putain qu’est-ce que vous faites ? […] TheShadowBrokers est en train de perdre foi en vous. Est en train d’apparaître que vous abandonnez “votre base”, “le mouvement” et le gens qui vous élisez. […] Si vous avez fait des “deal(s)” être en train de le dire aux gens, les gens apprécient la transparence. Mais quel genre de deal peut être en train d’aboutir à des armes chimiques utilisées en Syrie, le retrait de M. Bannon du NSC, frappe militaire américaine en Syrie, et vote avec succès pour la Cour suprême des Etats-Unis sans changer règles ? » [sic]

Si ce message peut prêter à sourire, les conséquences de cette publication promettent d’être dévastatrices.

Des outils de piratages pour prendre le contrôle de machines installées sous Windows

Les derniers outils dévoilés permettent d’infecter les ordinateurs fonctionnant sous Windows, afin d’en prendre le contrôle. Une aubaine pour n’importe quel hacker. Depuis le début du mois et la publication de ces nouveaux outils, de nombreuses machines seraient infectées, si l’on en croit les différentes recherches menées par des chercheurs en sécurité informatique.

Microsoft assure avoir apporté des correctifs aux failles utilisées dans les malwares de la NSA, mais de nombreux serveurs non patchés seraient infectés par Double Pulsar. D’autant que Redmond ne met plus à jour certaines versions de son OS jugées obsolètes.

La société Countercept a notamment publié un script permettant de détecter les systèmes infectés par le logiciel malveillant. Résultat ? Le nombre d’infections dépasse les 100 000 ordinateurs à travers le monde (une majorité aux États-Unis, environ 300 en France) et sa croissance est fulgurante : +72 % en l’espace de quelques jours selon les experts de Binary Edge qui ont éprouvé le script.

Toutefois, les chiffres varient d’une société à l’autre, certains pointant la possibilité de faux positifs, comme le chercheur Rob Graham qui n’a détecté « que » 41 000 infections.

Reste que l’expert en sécurité informatique Dan Tentler est plus pessimiste. Interrogé par Ars Technica, il explique avoir opéré une vérification manuelle de 50 systèmes censément infectés par DoublePulsar et tous l’étaient réellement. Pour lui, il faut s’attendre à un véritable « bain de sang ».

Une fois infecté, l’ordinateur peut servir à infecter d’autres systèmes, ensuite transformés en véritable réseau d’ordinateurs zombies pour mener des attaques d’une tout autre ampleur.

La NSA piratée par les « courtiers de l’ombre »

Rappel des faits : en août dernier, un groupe de hackers répondant au nom de « Shadow Brokers » (les courtiers de l’ombre), prétendait avoir hacké la NSA

Plus concrètement, ces pirates assuraient avoir hacké des systèmes informatiques utilisés par Equation, la TAO (Tailored Access Operations) pour « opérations d’accès sur mesure ». Un groupe que Kasperky Lab identifie comme lié à la NSA, depuis la découverte du ver informatique Fanny en 2015.

A la clé, plusieurs programmes de surveillance que le groupe entendait vendre au plus offrant. Certains fichiers, dont les plus récents datent de 2013, contenaient divers outils de surveillance permettant d’exploiter des failles dans des équipements de sécurité des réseaux, des pare-feu fabriqués par trois entreprises américaines, Juniper, Cisco et Fortinet, et par le chinois Topsec.

Ce hack avait alors valeur d’avertissement : « Nous voulons que les riches élites prennent conscience du danger que font peser les cyber-armes, ce message et notre vente aux enchères, sur leur richesse et leur contrôle », expliquait ainsi Shadow Brokers, dont les motivations restent à ce jour confuses.

« Le hack d’un serveur intermédiaire de malware n’est pas sans précédent, mais le fait de le rendre public oui. »

Un piratage au gout de guerre froide

Pour Edward Snowden, si le piratage de la NSA n’est pas une première, la publicité faite autour de cet exploit en est une. Lui faisant dire que cette attaque n’avait rien du simple piratage : « Pourquoi l’ont-ils fait ? Personne ne le sait. Mais je soupçonne qu’il s’agit plus de diplomatie que de renseignement, en rapport avec l’escalade autour du hack du DNC (Democratic National Committee) », qui a eu lieu le mois précédent.

Autrement dit, un piratage au gout de guerre froide entre la Russie et les États-Unis, qui attribuait la responsabilité du hack de la DNC à Moscou de manière à peine voilée.

« Ce leak est probablement un avertissement indiquant que quelqu’un peut prouver la responsabilité des États-Unis pour toute attaque provenant de ce serveur de logiciels malveillants », expliquait alors l’ancien analyste de la NSA. Un message suggérant à l’oncle Sam d’éviter toute mesure de rétorsion des États-Unis envers la Russie. Las, la riposte des États-Unis a bien eu lieu quelques mois plus tard.

Après une mise en scène d’enchère qui s’est révélée infructueuse, le groupe de hackers est passé à la vente directe, puis à leur publication pure et simple sur la toile. Autrement dit, noël avant l’heure pour les hackers.