Après le piratage d’Equation par Shadow Brockers, des failles critiques chez Cisco et Fortinet
La guerre de l'ombre
Le 18 août 2016 à 13h15
7 min
Internet
Internet
Un groupe de pirates, nommé Shadow Brockers, a mis à disposition le 15 août un lot de quelques 300 outils censés avoir été écrits par Equation Group, un groupe de pirates lié à des États. La fuite semble authentique, déclenchant de nombreuses interrogations sur l’identité et les motivations des attaquants.
Equation est le nom donné à un groupe de pirates possédant de sérieuses connaissances techniques et d'importants moyens. Kaspersky s’était penché sur ses activités en février dernier, montrant qu'il avait réussi à masquer son existence pendant 14 ans. L’éditeur avait trouvé alors des liens entre ses méthodes et des éléments retrouvés dans les plateformes d’espionnage Stuxnet et Flame. Ce qui laissait penser qu’Equation était soutenu par un ou plusieurs états, les États-Unis et Israël ayant été impliqués dans la conception des deux malwares.
Étonnement, scepticisme et signes troublants
Or, un autre groupe de pirates, se faisant appeler les Shadow Brokers, affirme depuis peu avoir obtenu un lot de 300 outils environ provenant d’un piratage d’Equation Group. Une affirmation accompagnée d'une ouverture de dépôt GitHub, depuis censurée, mais dont on peut encore trouver une version en cache. Le message, lui, est disponible sur Pastebin et se veut revendicatif : « Nous avons trouvé des cyberarmes conçues par les créateurs de Stuxnet, Duqu, Flame. Kasperksy les appelle groupe Equation. Nous avons suivi leur trafic. Nous avons trouvé leurs sources. Nous les avons piratés ».
La publication des Shadow Brokers a immédiatement attiré l'attention, et ce d’autant plus que les pirates souhaitaient vendre les outils au plus offrant. Des captures d'écrans, toujours disponibles sur Imgur, montraient des dossiers censés contenir différents outils, malwares, kits d'exploitations et autres. Le premier dossier était « offert », le reste étant livré aux enchères. Une adresse Bitcoin était donnée pour envoyer les sommes. Si l'enchère de l'un était dépassée par un autre, l'argent était perdu. Les pirates indiquaient cependant que si l'ensemble des enchères dépassait le million de bitcoins (plus d'un demi-milliard d'euros), d'autres fichiers seraient distribués, publiquement et gratuitement.
Les déclarations comme les demandes invitaient à la plus grande circonspection. Pourtant, en s’y penchant de plus près, plusieurs chercheurs ont remarqué des signes troublants. L’un d’entre eux, The Grugq, a indiqué à Motherboard quelques heures après la publication des Shadow Brockers que s’il s’agissait d’un canular, il était particulièrement élaboré.
Les outils eux-mêmes se composent de plusieurs catégories de fichiers utiles, mais sont constitués en bonne partie de scripts batch et Python. On y trouvait également des références à des failles 0-day dans des produits Cisco, Fortinet et Juniper. Un sujet particulièrement sensible, tant les routeurs de ces constructeurs sont répandus dans le monde, le public ayant déjà été alerté des dangers sur les équipements réseaux par la découverte de portes dérobées dans des produits Juniper, supprimées depuis (de même que tout code lié à la NSA).
Les outils semblent bien être ce qu'ils sont
Kaspersky, d’abord sceptique, s’est penché sur le contenu de l’archive qui était alors encore en ligne. Ils y ont trouvé finalement des liens considérés comme forts avec Equation. En particulier, une implémentation spécifique des algorithmes de chiffrement RC5 et RC6, que l’éditeur décrit comme « hautement spécifiques ». Plus tôt dans l’année, Kaspersky avait souligné d’étranges ressemblances entre les méthodes utilisées par Equation et celles de la NSA, la société estimant que les deux étaient liés. Les éléments trouvés constituent désormais un faisceau pointant vers un ensemble d’outils créés pour le gouvernement américain.
Pour l’éditeur russe, l’archive (qui pèse près de 300 Mo), est le signe d’une campagne menée par des personnes particulièrement motivées, peut-être situées en Russie, et souhaitant avant tout jeter à bas le voile de mystère qui enveloppe Equation Group. Edward Snowden, dans une série de tweets, estime que la NSA a été directement visée et que ce piratage est à connecter à celui du Democratic National Committee américain en juin dernier (qui serait également l'oeuvre d'un groupe russe), même s’il avoue ne pas connaître les motivations précises.
7) Why did they do it? No one knows, but I suspect this is more diplomacy than intelligence, related to the escalation around the DNC hack.
— Edward Snowden (@Snowden) 16 août 2016
Cisco et Fortinet confirment des failles 0-day
Mais si les questions autour de l’identité et des motivations sont importantes, elles ne masquent pas pour autant des réalités plus immédiates. L’archive des Shadow Brokers contenait des renseignements sur des failles 0-day, donc inconnues et encore moins corrigées. C’est notamment le cas de Cisco, qui a publié un bulletin de sécurité confirmant que la faille était réelle et serait suivie très prochainement d’un correctif.
Mis en ligne hier soir, le bulletin de Cisco précise que la faille concerne toute les versions du pare-feu ASA (Adaptive Security Appliance). Elle est visiblement présente depuis des années et peut être exploitée à distance pour prendre le contrôle de l’équipement, mais en passant obligatoirement par un ordinateur ayant déjà reçu l’autorisation de s’y connecter. Jugée critique, la brèche est d’autant plus dangereuse que l’archive contient une méthode pour l'exploiter.
Les outils semblent dater de 2013 et remettent en lumière un vaste trafic de failles : si l’archive vient bien d’Equation et que ce dernier travaille main dans la main avec la NSA, alors l’agence américaine de renseignement connait l’existence de la vulnérabilité depuis au moins trois ans. Cette possibilité rappelle immédiatement le cas Juniper, dont les produits comportaient un lot de 13 failles connues de l’agence depuis 2011.
D'autres conséquences à prévoir
Plusieurs autres constructeurs sont visés par les failles 0-day, dont la liste est désormais connue. Fortinet a ainsi publié de son côté un autre bulletin de sécurité, dans lequel il avertit que toutes les versions de son FOS sorties avant août 2012 sont touchées par une faille dans le parseur de cookies. Une enquête est en cours et il est recommandé aux concernés de mettre à jour le firmware des produits FortiGate.
D’autres bulletins de ce type pourraient être publiés très prochainement, Juniper étant lui aussi cité pour ses pare-feux NetScreen. Il y a bien sûr une possibilité pour que les failles fassent partie du lot déjà corrigé fin 2015. L’âge des outils fait en effet débat. Si les plus récents datent de 2013, les Shadow Brokers n’ont peut-être finalement pas piraté directement Equation, mais plutôt un serveur C&C (Command and Control), un relai pour la transmission des ordres et données entre les pirates et les malwares.
D’autres analyses sont en cours, notamment chez Wikileaks qui promet d’ailleurs d’en fournir une « copie immaculée » des fameux outils, sans toutefois préciser quand. Il faut en tout cas prévoir des révélations supplémentaires dans les jours et semaines qui viennent.
Après le piratage d’Equation par Shadow Brockers, des failles critiques chez Cisco et Fortinet
-
Étonnement, scepticisme et signes troublants
-
Les outils semblent bien être ce qu'ils sont
-
Cisco et Fortinet confirment des failles 0-day
-
D'autres conséquences à prévoir
Commentaires (30)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 18/08/2016 à 13h32
Et ben heureusement que ceux qui viennent de me signer mon bon de commande de plus de 30k ne lisent pas ces news, je serai interminablement obligé de justifier l’achat de ces produits chez Forti !
Le 18/08/2016 à 13h38
et la NSA récemment: “non non, on utilise très peu de 0days, genre cette année on a du en utiliser 2”.
lowl.
tout le délire d’une agence de sécu qui doit faire les deux jobs d’attaquant et de défenseur: comment défendre correctement quand on a besoin de failles pour attaquer?
du coup pour les 3 petits exemples, on colmate pas les failles pour pouvoir les exploiter, laissant la porte ouverte au premier venu.
Le 18/08/2016 à 13h42
Wow…. Les prochaines générations de malware risquent d’être “intéressantes”
Le 18/08/2016 à 13h52
Ah ben je l’attendais cette news " />
Merci la rédac :)
Le 18/08/2016 à 13h54
je peux vous dire que ça va chauffer aux states.
la NSA est assise sur des 0day chez Cisco, fortinet et Juniper depuis juste 3 ans, ça fait donc mini 3 ans que des boites ont des trous de sécu béants, certainement exploités par du monde, et l’administration censée les protéger a gardé les failles au chaud pour ses petits besoins. " />
peut-être que la décision récente de créer un commandement cyber à côté de la NSA n’est pas totalement étrangère à cette problématique… " />
Le 18/08/2016 à 14h18
Je connais des RSSI en vacances qui vont bien s’amuser lundi matin" />
Le 18/08/2016 à 14h18
Toujours rien pour Stormshield <3
Le 18/08/2016 à 14h22
Haha ! j’en ris même si je sais que je ne devrais pas.
Je ne sais pas qui sont les membres de l’Equation Group, mais là, ils sont plus grillés que Jeanne d’Arc.
Pour l’instant de ce que je comprends de la news, aucune preuve sur l’identité de leurs employeurs (même si bon, de forts soupçons sur la NSA/les USA est ce qui est le plus crédible).
Le 18/08/2016 à 14h24
Le 18/08/2016 à 14h32
" />" />
Le 18/08/2016 à 14h44
Quand on rapproche cela de la news sur Cazeneuve qui veut nous mettre des mouchards dans le fion… Tu te demande…
Enfin bon si c’est bien géré on passe la semaine prochaine sur cette news a elle toute seule. Même le JO pourrait faire moins d’audience. A voir.
Le 18/08/2016 à 14h46
Cisco…encore. Niveau sécurité, il y a du boulot. Bonjour l’image de marque." />
Plusieurs milliers de licenciements supplémentaires à venir pour compenser les pertes.
Le 18/08/2016 à 14h53
On notera l’absence d’exploits pour le parefeu OpenOffice, de loin le plus résistant. " />
Le 18/08/2016 à 15h02
Le 18/08/2016 à 17h29
Le 18/08/2016 à 17h36
Défaut de sécurisation, ça coûte cher " />
Le 18/08/2016 à 18h28
Ca, c’est le genre d’infos qui fait plaisir à voir " />
Le 18/08/2016 à 19h01
J’aime beaucoup le nom de certains outils de l’archive : EPICBANANA, EXTRABACON, GOTHAMKNIGHT…
Le 18/08/2016 à 19h39
Plaisir ? Sérieusement ?
Il y a l’équivalent numérique de plusieurs bombes atomiques dans la nature, absolument tous les systèmes mondiaux sont vulnérable (pour le moment) au (presque) premier venu et lui ça lui fait plaisir….
Le 18/08/2016 à 21h57
Pour ceux que ça interresse d’autres lots sont en vente ! On parle aussi de fuite en interne !
Les “filliales” de la NSA devraient faire gaffe quand ils mettent à la porte leurs employés !
Cela peut avoir plus de conséquences que dans d’autres boîtes ;-) .
Ils devraient vraiment privilégier un accord à l’amiable :-)
Le 19/08/2016 à 07h05
Simple hypothèse : et si c’était voulu ? Genre, on laisse griller, ou on grille nous-même des outils désormais obsolètes parce que repérés et s’attaquant à des failles sur le point d’être corrigées, pour mieux dissimuler d’autres outils plus d’actualité…
A voir, même si en la matière, il convient de rester prudent.
Le 19/08/2016 à 07h41
En truc me chiffonne, pourquoi tu le monde semble pense que seul la NSA a ce genre de pratique ?
Je pense que tous les pays avec un peu de moyen ont surement des outils équivalents.
Le 19/08/2016 à 07h55
In formation, déinformation, mélange habile du vrai et du faux, on ne peux rien croire dans ce monde.
Le 19/08/2016 à 08h10
Ce qui me chiffonne, c’est pourquoi certains essayent de dedouaner les americains, en disant que de toutes facons tout le monde fait la meme chose, et que c’est juste une question d’echelle ou de moyens.
La difference, c’est peut-etre justement l’echelle hallucinante de l’espionage americain, tu ne trouves pas?
Et que c’est devenu une telle industrie que ca leur devient impossible d’eviter une fuite?
Et le fait que la NSA travaille directement dans les comites qui font les protocoles et les normes (NIST, etc), et avec les industriels qui vendent dans le monde entier (Cisco, Juniper, Dell, RSA …).
Par exemple, Snowden a travaille chez Dell au Japon …
En Russie et en Chine, ils ont certainement un appareil d’État qui leur permet d’imposer le silence a leurs troupes. Mais ils n’ont pas autant de contrôle sur l’infrastructure mondiale d’Internet , ni des bases d’écoute a travers le monde (a ma connaissance).
La différence de moyen, c’est peut-être aussi ce qui fait que la France ne se lance pas dans la construction d’une base nucléaire au Groenland ?
Et pourtant quelqu’un pourrait toujours dire “Et vous pensez vraiment que les USA sont les seuls a faire ce genre de choses?”
http://www.dailymail.co.uk/sciencetech/article-3724431/Fears-global-warming-rele…
Le 19/08/2016 à 08h27
Le 19/08/2016 à 08h54
Hein??" />" />
http://www.reuters.com/article/usa-security-snowden-dell-idUSL2N0GF11220130815
Le 19/08/2016 à 09h49
Merci Vincent ;-)
Ce système de surveillance qui se fait pirater , à cette échelle ( elle est bonne , celle-là ) , cela lui pendait au nez ! Car lorsque cet outil de surveillance sert à l’espionnage de toutes sortes , ils devaient bien s’attendre au retour de bâton ! Ce n’est pas toujours les mêmes qui “gagnent” ! On appelle ça , un retour de flamme ! Je vous dit pas l’extincteur qu’il faudra !
Le 19/08/2016 à 17h52
Le 21/08/2016 à 09h44
Il faut arrêter de jouer les vierges effarouchées, le boulot de la NSA c’est d’espionner.
Donc potentiellement tout le matos américains possèdent des backdoors spécialement conçues par la NSA.
Et le matos chinois des backdoors pour les espions chinois …
etc …
C’est un peu la base du système.
Le 18/08/2016 à 13h31
Ouch.