Le récent vol des outils de piratage de la NSA serait dû à une erreur humaine. L’agence était a priori au courant quand ils ont été exposés au public, mais n’aurait pas cru bon d’avertir les entreprises dont les failles étaient révélées.
Une erreur humaine. C’est ce que qu’auraient indiqué des responsables de la NSA au FBI, chargé de l'enquête. Reuters, qui a publié l'information, cite quatre personnes proches de l’investigation. Un employé de la NSA aurait en fait « oublié » ces précieux outils sur un serveur distant il y a trois ans, découvert plus tard par les pirates russes se faisant appeler les Shadow Brokers.
Toujours selon ces sources, celui-ci aurait très rapidement avoué son erreur quand les actions des Shadow Brokers ont commencé à être connues. Cependant, le déchainement de la presse n’a semble-t-il pas provoqué de réaction de prévention à la NSA, qui n’a pas cherché à avertir les différentes entreprises concernées par des produits où des failles avaient été révélées.
Liens troubles
Il faut rappeler en effet que dans l’archive récupérée par les pirates russes se trouvaient plusieurs types de données. Il était question de documentation, de failles de sécurité ainsi que d'outils (en tout 300) pour exploiter ces dernières. Parmi les vulnérabilités, plusieurs ont été rapidement confirmées par des constructeurs, notamment Cisco, Fortinet et Juniper. Tous trois ont communiqué sur ces brèches pour indiquer qu’elles étaient réelles, et des correctifs ont été diffusés dans les jours ou semaines qui ont suivi.
Ces outils étaient liés de près à Equation Group, des pirates restés indétectés pendant au moins 14 années. Les éditeurs Kaspersky et Symantec en particulier s’étaient penchés sur ses activités, le premier mettant en évidence une paternité avérée avec quelques-uns des malwares les plus avancés repérés, dont Duqu, Stuxnet et Flame. Or, le même éditeur avait affirmé que les deux premiers résultaient d’une coopération entre les États-Unis et Israël. Ce qui a rapidement fait dire à la presse que les outils dérobés appartenaient en fait à la NSA.
Simple oubli ou action délibérée ?
Si l’on en croit les sources de Reuters, l’employé qui avait laissé les outils sur le serveur a quitté la NSA depuis un moment, pour d’autres raisons. Il pourrait s’agir d’un oubli « malencontreux », mais l’accès à un serveur distant permet de savoir maintenant que la NSA elle-même n’a pas été attaquée, ce qui était l’une des pistes envisagées (tout comme l’action d’un nouveau lanceur d’alertes). D’après Reuters, la piste d’un acte délibéré n’a pour autant pas encore été écartée.
La piste privilégiée serait en fait une attaque soutenue par la Russie. Selon l’une des sources de nos confrères, elle est préférée à la thèse du « simple » groupe criminel car la récupération des outils a été médiatisée au lieu de donner lieu directement à une vente secrète. L’objectif n’aurait donc jamais été véritablement d’obtenir une forte somme, mais de créer de multiples ondes de choc. En outre, si les outils étaient stockés depuis trois ans sur un serveur distant, ils ont très bien pu être exploités pendant tout ce temps.
La gestion des failles de sécurité au coeur du débat
L’action et les réactions participent cependant à un débat plus général. Il renvoie directement à la place qu’occupent les failles de sécurité dans les questions de sécurité nationale, dans les enquêtes ou dans l’obtention des renseignements. La NSA ne fait pas mystère que chaque faille trouvée fait l’objectif d’un examen. Dans 91 % des cas, ses détails en sont communiqués à l’éditeur concerné. Pour le reste, elle est libre de ne pas la révéler pour la réutiliser plus tard.
Or, la problématique centrale n’a évidemment pas bougé d’un iota. Toute faille non révélée est un danger potentiel pour l’ensemble des utilisateurs. Dans le cas de constructeurs comme Cisco et Fortinet, les brèches ont très bien pu être trouvées et exploitées par d’autres personnes. Le principe est le même qu’une porte dérobée quand son existence a été révélée. Le silence de la NSA peut avoir des conséquences lourdes lorsque les vulnérabilités touchent des produits aussi centraux que les routeurs. Il avait d’ailleurs été prouvé que grâce à deux failles, Equation Group pouvait facilement extraire les clés VPN des anciens pare-feu PIX de Cisco.
Commentaires (35)
“Dans le cas de constructeurs comme Cisco et Fortinet, les brèches ont très bien pu être trouvées et exploitées par d’autres personnes.”
“pu être” … lol.
Bisousnours land.
Passionnant !
Il y a encore un doute sur le fait que les USA sont les instigateurs de ces attaques depuis qu’un général de l’armée US s’est fait poursuivre pour haute trahison, pour avoir fait fuiter des informations sur «un soft qu’ils n’ont pas dev »?
Sinon votre lienhttps://www.nextinpact.com/news/71784-flame-… ne fonctionne pas.
Sinon ils ont partagé ces outils ? Je les mettrai bien à l’épreuve de la webcam de la voisine :p
a priori c’est pas le cas. en effet la NSA traquait les signatures des outils ou l’utilisation des 0days en question, et n’a apparemment rien détecté. Ils trouvent presque ça dommage, car ça leur aurait permis de détecter et d’analyser les comportements des potentiels adversaires (peut-être aussi pour ça que les mecs en question les ont jamais utilisées et les ont diffusées des années plus tard).
" />
plus globalement les collisions de 0days (le fait que 2 entités trouvent et exploitent les mêmes failles) sont apparemment relativement faibles, même si on a évidemment pas de chiffres là-dessus.
le général en question, Petraeus, a été il me semble gracié, et le soft en question c’était une boite mail dormante sur laquelle il échangeait avec sa biographe/maîtresse. ^^
Là tu m’intéresses.
colisions 0day : quelles collisions ?
on peut exploiter une même faille à deux , aucun souci : une fois que tu es dans le “shell” …
Il n’y a pas marqué “les brèches trouvées ont très bien pu être exploitées par d’autres personnes” (qui pour le coup serait en effet du “bisounours land”), mais bien “les brèches ont très bien pu être trouvées et exploitées par d’autres personnes.”
Il y a peu d’autres organisations qui ont les moyens de la NSA, je ne vois pas en quoi dire que peut-être une autre aurait pu avoir trouvé les même failles est du “bisounours land”…
ben oui pour que des c… les utilises et soient à leur tour backdooré !
" />
Haha les USA fabriquent des portes dérobées et laisse trainer les clefs à la vue des Russes, qui ont pu espionner les entreprises des USA pendant plusieurs années
" />
“les deux premiers résultaient d’une coopération entre les États-Unis et Israël.”
" />
C’est pourtant pas leur genre à tous les deux, mais bon, on change pas une équipe qui gagne !
éh éh !
putin c dredi !
ce qui est gonflant c’est les VPN
le fait que deux entités détectent et utilisent la même faille simultanément.
a priori c’est rare. en général, vu la tronche des failles, y’a qu’une seule entité qui la trouve avant qu’elle soit patchée. j’ai pas de chiffres ceci dit (forcément. vu le marché et la discrétion qui va de pair, difficile d’étudier ça).
heu non, là c’est des failles qui sont à priori issues de l’éditeur (rien vu à propos d’un hack quelconque d’une agence sur ce sujet).
j’ai déjà travailler sur ce genre de truc.
" />
les produits en sont truffés (en gros des mines d’or en farming) … donc une de plus ou de moins …
tiens celle-là, tu connais par exemple “NBT Name Service / LLMNR Responder 2.0 ”
hash hash … REDOUTABLE.
ben ça dépend quel produit. quand t’es sur du Cisco, Juniper ou du Fortinet, on peut raisonnablement penser que les boites ont des équipes dédiées à la sécu, donc susceptibles de contenir moins de failles que la moyenne (ou en tout cas moins de failles énormes qui donnent accès à la console d’admin par exemple).
c’est pour du réseau local MS ça non?
Juniper ????
quoi qu’entenje ?
euh non pas eux …
Les “grandes gueules” sont pas toujours les meilleurs … (c vrai pour moi aussi hein !)
je connais des appliances dont la boite fait pas de bruis … mais d’une efficacité terrible !
ouaih , et ca marche bien …
" />
plutôt ca cause beaucoup.
http://tools.kali.org/sniffingspoofing/responder
ben le truc qui pue avec Cisco : ils routent peut être 80 % du traffic internet , c’est juste pas bon … pour eux , et pour nous surtout !
eux : car comme MS les hackers et dev sont focalisé dessus …
nous … ben on est SUREMENT “sniffé” sur les maillons faibles des backbone …. orange fre etc ….
clairement.
le truc drôle c’est quand tu te rappelles l’accord que l’état a passé avec Cisco. ^^
ah oui pardon. ^^
" />
enfin bref c’est pour le lulz les enchères.
le truc c’est qu’ils rendent public pour 1M de bitcoins, du coup personne va payer.
un bon outil … (désolé c est en chleu, mais on voit l’essentiel !) à 0:52 puis 1:38 … on voit tout , et c’est flippant les attaques de tout bord , souvent des “pauvres mecs” qui sont backdooré ou botnetté !
https://www.youtube.com/watch?v=F9Gff1PbeD8
ne m’EN PARLES PAS !
" />
" />
….
en fait j’ai 2 trucs que j’aimerai tester un larséne d’IP / appliance et une sonde d’analyse TOTALEMENT invisible sur un réseau.
Avec mon pseudo, même si ca me fait pas plaisir j’ai pas le choix….
" />
Pas sûr que le mec ai eu l’autorisation de stocker les outils sur un serveur distant.
très intéressant post (en anglais) de thegrugq sur le sujet (tout frais)
C’est voulu.
moi je préfère rien , j’analyse, je stocke et je synthétise.