Outils volés de la NSA : une erreur humaine aurait permis la fuite

Outils volés de la NSA : une erreur humaine aurait permis la fuite

Négligence, malveillance

Avatar de l'auteur

Vincent Hermann

Publié dansInternet

23/09/2016
35
Outils volés de la NSA : une erreur humaine aurait permis la fuite

Le récent vol des outils de piratage de la NSA serait dû à une erreur humaine. L’agence était a priori au courant quand ils ont été exposés au public, mais n’aurait pas cru bon d’avertir les entreprises dont les failles étaient révélées.

Une erreur humaine. C’est ce que qu’auraient indiqué des responsables de la NSA au FBI, chargé de l'enquête. Reuters, qui a publié l'information, cite quatre personnes proches de l’investigation. Un employé de la NSA aurait en fait « oublié » ces précieux outils sur un serveur distant il y a trois ans, découvert plus tard par les pirates russes se faisant appeler les Shadow Brokers.

Toujours selon ces sources, celui-ci aurait très rapidement avoué son erreur quand les actions des Shadow Brokers ont commencé à être connues. Cependant, le déchainement de la presse n’a semble-t-il pas provoqué de réaction de prévention à la NSA, qui n’a pas cherché à avertir les différentes entreprises concernées par des produits où des failles avaient été révélées.

Liens troubles

Il faut rappeler en effet que dans l’archive récupérée par les pirates russes se trouvaient plusieurs types de données. Il était question de documentation, de failles de sécurité ainsi que d'outils (en tout 300) pour exploiter ces dernières. Parmi les vulnérabilités, plusieurs ont été rapidement confirmées par des constructeurs, notamment Cisco, Fortinet et Juniper. Tous trois ont communiqué sur ces brèches pour indiquer qu’elles étaient réelles, et des correctifs ont été diffusés dans les jours ou semaines qui ont suivi.

Ces outils étaient liés de près à Equation Group, des pirates restés indétectés pendant au moins 14 années. Les éditeurs Kaspersky et Symantec en particulier s’étaient penchés sur ses activités, le premier mettant en évidence une paternité avérée avec quelques-uns des malwares les plus avancés repérés, dont Duqu, Stuxnet et Flame. Or, le même éditeur avait affirmé que les deux premiers résultaient d’une coopération entre les États-Unis et Israël. Ce qui a rapidement fait dire à la presse que les outils dérobés appartenaient en fait à la NSA.

Simple oubli ou action délibérée ?

Si l’on en croit les sources de Reuters, l’employé qui avait laissé les outils sur le serveur a quitté la NSA depuis un moment, pour d’autres raisons. Il pourrait s’agir d’un oubli « malencontreux », mais l’accès à un serveur distant permet de savoir maintenant que la NSA elle-même n’a pas été attaquée, ce qui était l’une des pistes envisagées (tout comme l’action d’un nouveau lanceur d’alertes). D’après Reuters, la piste d’un acte délibéré n’a pour autant pas encore été écartée.

La piste privilégiée serait en fait une attaque soutenue par la Russie. Selon l’une des sources de nos confrères, elle est préférée à la thèse du « simple » groupe criminel car la récupération des outils a été médiatisée au lieu de donner lieu directement à une vente secrète. L’objectif n’aurait donc jamais été véritablement d’obtenir une forte somme, mais de créer de multiples ondes de choc. En outre, si les outils étaient stockés depuis trois ans sur un serveur distant, ils ont très bien pu être exploités pendant tout ce temps.

La gestion des failles de sécurité au coeur du débat

L’action et les réactions participent cependant à un débat plus général. Il renvoie directement à la place qu’occupent les failles de sécurité dans les questions de sécurité nationale, dans les enquêtes ou dans l’obtention des renseignements. La NSA ne fait pas mystère que chaque faille trouvée fait l’objectif d’un examen. Dans 91 % des cas, ses détails en sont communiqués à l’éditeur concerné. Pour le reste, elle est libre de ne pas la révéler pour la réutiliser plus tard.

Or, la problématique centrale n’a évidemment pas bougé d’un iota. Toute faille non révélée est un danger potentiel pour l’ensemble des utilisateurs. Dans le cas de constructeurs comme Cisco et Fortinet, les brèches ont très bien pu être trouvées et exploitées par d’autres personnes. Le principe est le même qu’une porte dérobée quand son existence a été révélée. Le silence de la NSA peut avoir des conséquences lourdes lorsque les vulnérabilités touchent des produits aussi centraux que les routeurs. Il avait d’ailleurs été prouvé que grâce à deux failles, Equation Group pouvait facilement extraire les clés VPN des anciens pare-feu PIX de Cisco.

35
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Et bonne nuit les petits

00:04 Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

13:40 Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 40

Sommaire de l'article

Introduction

Liens troubles

Simple oubli ou action délibérée ?

La gestion des failles de sécurité au coeur du débat

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 40
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 23

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 41
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 21
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 8
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 25
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (35)


anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 14h43

“Dans le cas de constructeurs comme Cisco et Fortinet, les brèches ont très bien pu être trouvées et exploitées par d’autres personnes.”

“pu être” … lol.

Bisousnours land.


marba
Le 23/09/2016 à 14h53

Passionnant !
Il y a encore un doute sur le fait que les USA sont les instigateurs de ces attaques depuis qu’un général de l’armée US s’est fait poursuivre pour haute trahison, pour avoir fait fuiter des informations sur «un soft qu’ils n’ont pas dev »?

Sinon votre lienhttps://www.nextinpact.com/news/71784-flame-…  ne fonctionne pas.

Sinon ils ont partagé ces outils ? Je les mettrai bien à l’épreuve de la webcam de la voisine :p


hellmut Abonné
Le 23/09/2016 à 14h54

a priori c’est pas le cas. en effet la NSA traquait les signatures des outils ou l’utilisation des 0days en question, et n’a apparemment rien détecté. Ils trouvent presque ça dommage, car ça leur aurait permis de détecter et d’analyser les comportements des potentiels adversaires (peut-être aussi pour ça que les mecs en question les ont jamais utilisées et les ont diffusées des années plus tard). <img data-src=" />

plus globalement les collisions de 0days (le fait que 2 entités trouvent et exploitent les mêmes failles) sont apparemment relativement faibles, même si on a évidemment pas de chiffres là-dessus.


hellmut Abonné
Le 23/09/2016 à 14h55

le général en question, Petraeus, a été il me semble gracié, et le soft en question c’était une boite mail dormante sur laquelle il échangeait avec sa biographe/maîtresse. ^^


anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 14h56

Là tu m’intéresses.

colisions 0day : quelles collisions ?
on peut exploiter une même faille à deux , aucun souci : une fois que tu es dans le “shell” …


spamplemousse
Le 23/09/2016 à 14h57

Il n’y a pas marqué “les brèches trouvées ont très bien pu être exploitées par d’autres personnes” (qui pour le coup serait en effet du “bisounours land”), mais bien “les brèches ont très bien pu être trouvées et exploitées par d’autres personnes.”&nbsp;

Il y a peu d’autres organisations qui ont les moyens de la NSA, je ne vois pas en quoi dire que peut-être une autre aurait pu avoir trouvé les même failles est du “bisounours land”…


anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 14h58

ben oui pour que des c… les utilises et soient à leur tour backdooré !
<img data-src=" />


ProFesseur Onizuka
Le 23/09/2016 à 14h58

Haha les USA fabriquent des portes dérobées et laisse trainer les clefs à la vue des Russes, qui ont pu espionner les entreprises des USA pendant plusieurs années <img data-src=" />


anonyme_8db2db86e6e8bfd8080de99876638d13
Le 23/09/2016 à 14h59

“les deux premiers résultaient d’une coopération entre les États-Unis et Israël.”
C’est pourtant pas leur genre à tous les deux, mais bon, on change pas une équipe qui gagne ! <img data-src=" />


anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 14h59

éh éh !


anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 15h00

<img data-src=" />
putin c dredi !


anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 15h00

ce qui est gonflant c’est les VPN


hellmut Abonné
Le 23/09/2016 à 15h02

le fait que deux entités détectent et utilisent la même faille simultanément.
a priori c’est rare. en général, vu la tronche des failles, y’a qu’une seule entité qui la trouve avant qu’elle soit patchée. j’ai pas de chiffres ceci dit (forcément. vu le marché et la discrétion qui va de pair, difficile d’étudier ça).


hellmut Abonné
Le 23/09/2016 à 15h03

heu non, là c’est des failles qui sont à priori issues de l’éditeur (rien vu à propos d’un hack quelconque d’une agence sur ce sujet).


hellmut Abonné
Le 23/09/2016 à 15h05






marba a écrit :

Sinon ils ont partagé ces outils ? Je les mettrai bien à l’épreuve de la webcam de la voisine :p


oui, ils ont publié une partie, l’autre étant soumise à une pseudo enchère de 1 million de dollars je crois.



anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 15h07

j’ai déjà travailler sur ce genre de truc.
les produits en sont truffés (en gros des mines d’or en farming) … donc une de plus ou de moins … <img data-src=" />


anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 15h10

tiens celle-là, tu connais par exemple “NBT Name Service / LLMNR Responder 2.0 ”

hash hash … REDOUTABLE.


hellmut Abonné
Le 23/09/2016 à 15h10

ben ça dépend quel produit. quand t’es sur du Cisco, Juniper ou du Fortinet, on peut raisonnablement penser que les boites ont des équipes dédiées à la sécu, donc susceptibles de contenir moins de failles que la moyenne (ou en tout cas moins de failles énormes qui donnent accès à la console d’admin par exemple).


hellmut Abonné
Le 23/09/2016 à 15h13

c’est pour du réseau local MS ça non?


anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 15h14

Juniper ????
quoi qu’entenje ?
euh non pas eux …

Les “grandes gueules” sont pas toujours les meilleurs … (c vrai pour moi aussi hein !)
je connais des appliances dont la boite fait pas de bruis … mais d’une efficacité terrible !


anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 15h14

ouaih , et ca marche bien …
plutôt ca cause beaucoup. <img data-src=" />

http://tools.kali.org/sniffingspoofing/responder


anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 15h17

ben le truc qui pue avec Cisco : ils routent peut être 80 % du traffic internet , c’est juste pas bon … pour eux , et pour nous surtout !

eux : car comme MS les hackers et dev sont focalisé dessus …
nous … ben on est SUREMENT “sniffé” sur les maillons faibles des backbone …. orange fre etc ….


TriEdge
Le 23/09/2016 à 15h19






hellmut a écrit :

oui, ils ont publié une partie, l’autre étant soumise à une pseudo enchère de 1 million de dollars je crois.




Plutôt 1 millions de bitcoins, nan ?



hellmut Abonné
Le 23/09/2016 à 15h20

clairement.
le truc drôle c’est quand tu te rappelles l’accord que l’état a passé avec Cisco. ^^


hellmut Abonné
Le 23/09/2016 à 15h21

ah oui pardon. ^^
enfin bref c’est pour le lulz les enchères.
le truc c’est qu’ils rendent public pour 1M de bitcoins, du coup personne va payer. <img data-src=" />


anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 15h23

un bon outil … (désolé c est en chleu, mais on voit l’essentiel !) à 0:52 puis 1:38 … on voit tout , et c’est flippant les attaques de tout bord , souvent des “pauvres mecs” qui sont backdooré ou botnetté !
https://www.youtube.com/watch?v=F9Gff1PbeD8


anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 15h24

ne m’EN PARLES PAS !
<img data-src=" />

….

<img data-src=" />


anonyme_97254becd5c5b064755d6772703ed968
Le 23/09/2016 à 15h27

en fait j’ai 2 trucs que j’aimerai tester un larséne d’IP / appliance et une sonde d’analyse TOTALEMENT invisible sur un réseau.


anonyme_8db2db86e6e8bfd8080de99876638d13
Le 23/09/2016 à 15h33

Avec mon pseudo, même si ca me fait pas plaisir j’ai pas le choix…. <img data-src=" />


Xaelias
Le 23/09/2016 à 17h48






ledufakademy a écrit :

“Dans le cas de constructeurs comme Cisco et Fortinet, les brèches ont très bien pu être trouvées et exploitées par d’autres personnes.”

“pu être” … lol.

Bisousnours land.


Bah faut les trouver quoi. Après oui si elles ont été trouvées par qq’un d’autre, il est fort probable qu’elles aient été utilisées.

Je suis étonné que leur procédure n’inclue pas un clean automatique sous certaines conditions. Je trouve étrange de laisser l’intégralité des données accessibles pendant des mois même si personne n’y touche.



Mihashi Abonné
Le 23/09/2016 à 17h53

Pas sûr que le mec ai eu l’autorisation de stocker les outils sur un serveur distant.


hellmut Abonné
Le 24/09/2016 à 12h20

très intéressant post (en anglais) de thegrugq sur le sujet (tout frais)


ol1v1er
Le 24/09/2016 à 21h06

C’est voulu.


RaoulC
Le 26/09/2016 à 12h47






ledufakademy a écrit :

“Dans le cas de constructeurs comme Cisco et Fortinet, les brèches ont très bien pu être trouvées et exploitées par d’autres personnes.”

“pu être” … lol.

Bisousnours land.


Ca s’appelle du journalisme. Si tu n’a pas d’information fiable ou d’élémentrs tu emploies le conditionel.
Tu préfererait du putalick? Alors oui, elles ont certainement étés trouvés par qqun d’autre mais va savoir



anonyme_97254becd5c5b064755d6772703ed968
Le 26/09/2016 à 19h30

moi je préfère rien , j’analyse, je stocke et je synthétise.