Culture du hacking

NSA Brokers lost in transaction

Edit du 10 janvier 2017 : comme l’indique The Hackers News, le groupe The Shadow Brokers a mis en vente les outils de surveillance de la NSA, pour 750 Bitcoins, soit environ 678 630$. Dans ce pack d’outils, intitulé Equation Group Windows Warez, on retrouve des exploits ainsi que des outils permettant de passer outre les antivirus, tels qu’Avast, Symantec, ou encore Kasperksy.

L’information est passée totalement inaperçue pour cause de vie politique nationale et internationale particulièrement agitée mais il semblerait que la NSA ne soit pas au bout de ses peines et n’ait pas fini de faire parler d’elle.

En août 2016, un groupe de mercenaires se faisant appeler The Shadow Brokers a fait savoir qu’elle avait réussi à attaquer et à exfiltrer un certain nombre d’information d’une organisation appelée Equation Group. Inconnue sous nos latitudes, elle serait un groupe au service de la NSA, menant pour son compte un certain nombre d’attaques informatiques diverses.

Poussant le vice jusqu’au bout, les mercenaires de The Shadow Brokers ont publié quelques informations mais ont mis aux enchères le reste, demandant que la coquette somme de 1 million de Bitcoin leur soit versée. N’ayant pas trouvé preneur, ils ont néanmoins publié d’autres informations sur les différents outils et techniques utilisés ainsi que les cibles d’Equation Group. Bien que le lien entre Equation Group et la NSA ne soit pas officiel, il apparaît clairement que le premier est aux ordres de la seconde, d’autant que les outils utilisés sont les mêmes que ceux révélés par Edouard Snowden, notamment Bananaglee et Barglee. La liste complète se trouve sur la page Wikipedia consacrée à The Shadow Brokers.

Plusieurs spécialistes dont les laboratoires Kasperksy ont planché sur la véracité des données ainsi que sur la source de cette fuite. Premièrement, la concordance des informations laisse peu de places au doute : les données et les détails démontrent qu’il s’agit bien des outils de la NSA pour mener des attaques informatiques vers des cibles spécifiques dont la Chine, le Japon, l’Italie, l’Espagne ou encore Taïwan. Deuxièmement, les données sont si complètes que l’hypothèse la plus plausible serait quelqu’un soit tout simplement sorti d’une zone sécurisée avec du matériel contenant toutes les informations utiles.

Cette seconde hypothèse paraît d’autant plus crédible qu’un ancien salarié d’un partenaire de la NSA, Harold T. Martin III, travaillant pour Booz Allen Hamilton, déjà employeur de Snowden, a été arrêté courant août 2016 pour avoir dérobé du matériel sensible de l’agence. De là à penser qu’Harold T. Martin III fait partie des Shadow Brokers, il n’y a qu’un pas. Ce dernier faisait l’objet d’une mise en accusation pour vols de documents mais pourrait aussi être accusé d’espionnage.

On se doutait déjà largement que la NSA menait des attaques informatiques à échelle internationale puisqu’elle lui a consacré un département entier – Tailored Access Operations (TAO) – mais on n’avait pas de visibilité sur ce que faisait ce département ni sur les cibles.

L’histoire pourrait s’arrêter là. Mais il y a eu une troisième fuite de données de la NSA, qui n’a pas été rendue publique jusqu’à ce que le Washington Post en fasse mention le 19 novembre 2016. A ce stade, on ne sait pas qui est l’auteur ni ce qui a été dérobé mais gageons que ce n’est qu’une question de temps avant que cela ne se retrouve sur la place publique.

A croire que la NSA, sous la direction de Michael S. Rogers, est devenue une sorte d’open-bar. Cet officiel avait déjà fait les frais d’une fuite de données en 2013 lorsqu’il dirigeait le commandement cyber de la Navy. Ajoutons à cela les trois fuites de données de la NSA sous sa direction et on obtient une situation politique inédite. En effet, l’administration d’Obama presse l’actuel POTUS de faire un ménage de printemps avant l’installation de Donald Trump au 1600 Pennsylvania Avenue. Rogers peut se vanter d’avoir les meilleurs spécialistes de sécurité informatique dans son service, le fait est qu’il n’a pas réussi à empêcher ses fuites d’informations. Peut-être peut-on conseiller à l’administration américaine de rebaptiser la National Security Agency en No Snoops Allowed, cela lui permettra d’envoyer un message clair et de garder le même acronyme.

Qu’en est-il des Shadow Brokers ? Ils n’ont plus fait parler d’eux depuis le 31 octobre 2016. Mais cela ne veut pas pour autant dire qu’ils ont disparu de la toile et qu’ils n’ont pas encore quelques révélations intéressantes à faire, sous couvert de payer le prix fort.

Ces informations résonnent particulièrement dans le contexte actuel français où un fichier regroupant toutes les informations personnelles des citoyens est en cours de création. Vous pouvez avoir les personnes les plus efficaces, les systèmes les plus solides, personne n’est jamais à l’abri d’une fuite d’informations de l’intérieur.