Shadow Brokers : 24 000 dollars par mois pour des outils de la NSA, un vrai problème éthique

Shadow Brokers : 24 000 dollars par mois pour des outils de la NSA, un vrai problème éthique

To pay or not to pay?

35

Shadow Brokers : 24 000 dollars par mois pour des outils de la NSA, un vrai problème éthique

Les pirates du groupe Shadow Brokers ont finalement étalé hier soir les conditions de leur « abonnement ». Pour 24 000 dollars par mois environ, ils proposent un pack mensuel de failles de sécurité et d’outils, dont on suppose qu’au moins une bonne partie proviendront de la NSA. Une formule qui pose bien des questions, notamment d’ordre éthique.

Les Shadow Brokers se sont fait connaître il y a plusieurs mois et ont enchainé depuis les publications cataclysmiques. Ce fut très notablement le cas de celle d’avril, qui contenait des informations sur des failles récentes ainsi que des outils de la NSA. Deux éléments en particulier ont eu de grandes répercussions : le malware DoublePulsar et la faille SMB dans Windows surnommée EternalBlue.

On connait les conséquences, puisqu’ils ont servi de base à la création de WannaCrypt, le ransomware responsable de centaines de milliers d’infections, et donc de problèmes pour les structures et entreprises touchées. Ce fut notamment le cas du système de santé anglais, ou encore de Renault, dont plusieurs usines avaient été mises à l’arrêt. Sans parler du vaste débat sur le stockage des failles par les États relancé par le malware.

Bien décidé à creuser cette voie, le ou les pirates ont indiqué il y a deux semaines qu’ils proposent un abonnement pour diffuser, contre des espèces sonnantes et trébuchantes, une distribution de failles et autres outils du renseignement sur une base mensuelle. Dont acte.

24 000 dollars par mois pour des lots de failles

Voici donc ce que proposent les pirates. Pour 100 zCash (une cryptomonnaie) par mois, soit environ 24 000 dollars, ils fourniront un pack contenant des détails sur des failles de sécurité ainsi que différents outils. On estime que ces derniers serviront à exploiter les premières, mais il peut s’agir de programmes plus généraux.

Ces données proviendront en grande majorité de la NSA, mais il est probable que les sources se diversifient par la suite. Après tout, l’agence américaine de renseignement ne détient pas un stock illimité d’outils. Les Shadow Brokers évoquent une diffusion sur au moins plusieurs mois, même si le nombre d’outils compris dans chaque pack reste à déterminer.

Le communiqué des pirates contient l’adresse où effectuer le versement, et ils préviennent que le cours du zCash risque d’augmenter. Il faut donc, d'après eux, se dépêcher. Les paiements pourront être effectués entre le 6 et le 30 juin pour recevoir la première livraison, qui sera accompagnée d’un lien et d’un mot de passe durant la première quinzaine de juillet. Des informations seront également données sur le prochain pack.

Notez que les pirates ont évoqué des informations sur les partenaires bancaires SWIFT et même sur les programmes nucléaires russe, chinois et nord-coréen. Des données qui, si elles sont réelles, seraient extrêmement sensibles.

Les Shadow Brokers sont-ils sérieux ?

Rien à ce jour ne permet de penser que ce n’est pas le cas. Les pirates ont laissé un véritable sillage de faits très concrets. Toutes leurs menaces ont été mises à exécution jusqu’à présent, et même si toutes les publications n’ont pas eu d’effet, il est plus que probable qu’ils ont encore de nombreuses surprises en réserve.

La manière dont ils s’y sont pris reste un mystère. Ils s’étaient copieusement moqués de la NSA pour le manque de sécurisation de certains serveurs. On se rappelle que le vol initial avait été perpétré contre Equation Group, une cellule de pirates que beaucoup décrivent comme très proche de la NSA, voire faisant partie intégrante de l’agence. Le premier vol avait pu avoir lieu car un « agent » les avait laissés sans protection spécifique sur un serveur.

On ignore encore la portée de ce cambriolage. Soit les Shadow Brokers ont bien publié tout ce qui avait été pris à cette occasion et ont eu d’autres sources, soit la fuite était plus importante que ce qui en a été montré. Rappelons que dans une précédente publication, les pirates ont affirmé détenir environ 75 % de l’arsenal de la NSA, ce qui reste évidemment à prouver.

Une proposition qui soulève des questions éthiques

Le simple fait de proposer une formule d’abonnement mensuel pose un véritable problème dans le monde de la sécurité. Face à cette « opportunité », les chercheurs n’ont que deux solutions : payer et faire leur jeu, ou ne pas payer et prendre le risque de se retrouver démunis face à d’éventuelles attaques.

Le problème est particulièrement concret depuis le passage de WannaCrypt. Les dégâts ont été importants, mais ont pourtant été atténués par la publication le mois précédent de mises à jour logicielles par Microsoft. Toutes les principales failles – dont EternalBlue – avaient été corrigées. On supposait alors que la NSA pouvait très bien avoir donné les informations à l’éditeur, consciente qu’elle ne pouvait plus empêcher la publication des vulnérabilités. Une piste que le Washington Post a explorée il y a deux semaines, affirmant que cette communication avait bien eu lieu.

Comment prévoir dès lors les futures catastrophes si les données des Shadow Brokers ne sont pas analysées pour voir les failles et techniques qui seront exploitées ? D’un autre côté, si des chercheurs acceptent de payer, cela revient à financer des pirates pour d’éventuelles actions ultérieures.

Un dilemme résumé notamment par Matthew Hickey, cofondateur de la société Hacker House, qui a indiqué à Ars Technica : « J’ai un vrai problème moral [avec cette situation]. Soutenir un comportement criminel enverrait un mauvais message. D’un autre côté, je pense que 24 000 dollars sont un petit prix à payer pour éviter un autre WannaCrypt, et je pense que de nombreuses victimes partagent ce sentiment ».

Par ailleurs, cette piquante situation soulève d’autres questions, en particulier sur les motivations des pirates, et bien sûr sur leur identité.

Les objectifs des pirates restent un mystère

L’un des plus gros problèmes au sujet des Shadow Brokers est leur identité. Il existe des pistes menant vers la Russie, d’autres vers la Corée du Nord, mais la vérité est qu’il n’existe aucune preuve définitive.

Avec l’identité viennent les objectifs : on ne sait ce que veulent vraiment les Shadow Brokers. Demander 24 000 dollars pour un pack de failles et d’outils semble dérisoire comparé au potentiel d’une seule faille bien placée. On se rappelle ainsi comment le FBI avait payé au moins 1,4 million de dollars pour la faille qui lui avait permis de percer les défenses d’iOS 9 dans un iPhone 5C dans l’affaire San Bernardino.

EternalBlue, utilisée par WannaCrypt, aurait donc très bien pu être revendu dans cette gamme de prix. Les Shadow Brokers ont cependant décidé de publier gratuitement ces informations, pour le « simple plaisir » de mettre la pagaille... Et fournir un échantillon du contenu de leur besace. Au vu du résultat, la mission est de ce point réussie. À se demander en fait si les 100 zCash ne sont pas là surtout pour brouiller les pistes et laisser penser qu’il s’agit bien de pirates « classiques », et non plus d’une agence étrangère de renseignement.

Langage puéril d'un côté, promesses tenues de l'autre

Les traces laissées par les Shadow Brokers ont de quoi rendre perplexe. Les communiqués sont ainsi rédigés dans un anglais approximatif, laissant apparaître un caractère presque infantile, avec un ton particulièrement railleur et orgueilleux, certaines des réactions laissant penser à une fierté blessée. Mais dans l’absolu, ces éléments de langage ne veulent rien dire.

Le projet Marble de la CIA, révélé par Wikileaks, a montré comment les agences de renseignement pouvaient consacrer de nombreux effort à masquer leurs traces. Pour rappel, Marble permettait de cacher la provenance d’un code, voire de le modifier afin de renvoyer dans une autre direction, par exemple une agence ennemie. Des malwares ont ainsi pu être attribués par erreur à certains pays au cours des années précédentes. Il n’est donc pas difficile d’imaginer que ces textes, qui paraissent parfois si puérils, soient en fait des constructions méticuleuses, encore une fois pour brouiller les pistes.

D'un autre côté, et alors que le langage pourrait laisser penser à un groupe de jeunes pirates désorganisés, ils ont prouvé à chaque fois qu'ils étaient capables de tenir leurs engagements. D'autant que s'ils détiennent vraiment 75 % du « cyberarsenal » de la NSA tout en ayant jusqu'à présent réussi à cacher leur identité, c'est qu'ils n'ont rien d'amateurs. Ce qui renforce l'idée d'un groupe très organisé se faisant passer pour ce qu'il n'est pas. La revente « sûre » des failles pour 100 zCash mensuels, plutôt qu'une exploitation concrète plus aléatoire, pourrait aller en ce sens.

Il ne reste dans tous les cas qu’à attendre, car le sérieux de la menace ne pourra être mesuré qu'avec le contenu du premier pack. Les Shadow Brokers n’indiquent pas exactement quand il sera diffusé, en dehors de la « première moitié de juillet ».

Commentaires (35)


Et ben on a pas fini avec les attaques d’envergure à répétition… GG les gars.<img data-src=" />


Très bon article qui explique bien le fond du problème.

Payer ou pas telle est la question…



Dans tous les cas si le problème est réel, les admins vont avoir encore pas mal de maj à passer en urgence pour combler ces failles….








Ricard a écrit :



Et ben on a pas fini avec les attaques d’envergure à répétition… GG les gars.<img data-src=" />





pour compenser le karma : on en a pas fini avec des MàJ améliorant la sécurité en colmatant les failles (si les chercheurs choisissent cette solution dans leur dilemme du tramway).



edit : ah bah BBQed





Rappelons que dans une précédente publication, les pirates ont affirmé détenir environ 75 % de l’arsenal de la NSA, ce qui reste évidemment à prouver.



Comment ils peuvent savoir?



En tout cas merci à eux, les gens vont peut-être enfin s’intéresser à la sécurité informatique



PS : “oui mais ya des victimes et tout, pas bien” -&gt; balec


Et comment peuvent-ils être surs de pouvoir continuer à piller la NSA mensuellement? C’est payable d’avance les 24 000, ou à la livraison?








Café In a écrit :



Et comment peuvent-ils être surs de pouvoir continuer à piller la NSA mensuellement? C’est payable d’avance les 24 000, ou à la livraison?





Payable d’avance. Et ils compte pas continuer de piller la NSA. Just tout les mois, ils filent une portion de ce qu’ils ont.









Burn2 a écrit :



Très bon article qui explique bien le fond du problème.

Payer ou pas telle est la question…



Dans tous les cas si le problème est réel, les admins vont avoir encore pas mal de maj à passer en urgence pour combler ces failles….





Exact !

C’est comme payer les rançons d’enlèvement par des terroristes. Payer pour sauver une ou des vies immédiatement mais financer le terrorisme (et donc potentiellement en mettre d’autre en danger) ou ne pas payer et “jouer” avec les vies des otages actuel.

Le jeu du chat et de la souris, à un autre niveau dans les deux cas malheureusement <img data-src=" />



Et via la presse libre il y a moyen d’avoir une réduction ?








darkweizer a écrit :



Exact !

C’est comme payer les rançons d’enlèvement par des terroristes. Payer pour sauver une ou des vies immédiatement mais financer le terrorisme (et donc potentiellement en mettre d’autre en danger) ou ne pas payer et “jouer” avec les vies des otages actuel.

Le jeu du chat et de la souris, à un autre niveau dans les deux cas malheureusement <img data-src=" />





Oui et non. $24k est une relative faible somme. Si un des chercheurs paye, et ensuite share avec l’intégralité de la communauté… Je pense que c’est worth it. Puis avec un peu de chance on apprendrait peut-être qqch sur eux.









Xaelias a écrit :



Oui et non. \(24k est une relative faible somme. Si un des chercheurs paye, et ensuite share avec l'intégralité de la communauté... Je pense que c'est worth it. Puis avec un peu de chance on apprendrait peut-être qqch sur eux.





\)
24k parce que ce sont les “premiers” (je n’ai pas eu vent d’autres groupes qui demandaient une telle rançon, encore moins mensuelle) ! Et c’est le premier mois. Ils le disent eux même, les 100zCash ne changeront pas, le cour ci ! Et surement à la hausse. Puis quid qu’ils ne demanderont pas plus de 100zCash dans X mois, finalement. Ou finalement 100 bitcoin. Si ça marche pour eux, d’autres groupes si mettront et ce ne sera plus seulement $24 000/m ;).

Les rançons des terroristes il y a quelques dizaines d’années en arrière n’étaient pas aussi élevés que maintenant (il n’y a qu’à voir les enlèvements de personnalité dans les années 70 en France, où les rançons explosaient de plus en plus. Les premières étaient anecdotiques, les suivantes de moins en moins ! L’époque change, pas les hommes)









darkweizer a écrit :



\(24k parce que ce sont les "premiers" (je n'ai pas eu vent d'autres groupes qui demandaient une telle rançon, encore moins mensuelle) ! Et c'est le premier mois. Ils le disent eux même, les 100zCash ne changeront pas, le cour ci ! Et surement à la hausse. Puis quid qu'ils ne demanderont pas plus de 100zCash dans X mois, finalement. Ou finalement 100 bitcoin. Si ça marche pour eux, d'autres groupes si mettront et ce ne sera plus seulement \)24 000/m ;).

Les rançons des terroristes il y a quelques dizaines d’années en arrière n’étaient pas aussi élevés que maintenant (il n’y a qu’à voir les enlèvements de personnalité dans les années 70 en France, où les rançons explosaient de plus en plus. Les premières étaient anecdotiques, les suivantes de moins en moins ! L’époque change, pas les hommes)





Il serait probablement rentable au contraire que ces rançons augmentent. Mois de personnes seraient capable de se permettre de les payer.

Je ne suis pas sûr de voir où tu veux en venir en vrai. Et je n’ai jamais dit “yolo payons tout, tout le temps, quelque soit le montant”.

Justement, c’est $24k, c’est peu, autant en profiter.



Bon bah y a plus qu’à lancer une campagne de crowfunding pour payer les packs et les donner à la communauté white hat. Comme ça on se posera moins de question niveau éthique puisque la “responsabilité” sera partagée entre les bakers <img data-src=" />








Xaelias a écrit :



Il serait probablement rentable au contraire que ces rançons augmentent. Mois de personnes seraient capable de se permettre de les payer.

Je ne suis pas sûr de voir où tu veux en venir en vrai. Et je n’ai jamais dit “yolo payons tout, tout le temps, quelque soit le montant”.

Justement, c’est $24k, c’est peu, autant en profiter.





Oui, dans un sens si ça augmente, ça ne sera plus tout le monde qui pourra se procurer ça. Je n’avais pas pensé à ce côté là !

Je voulais dire que si on paye, alors ils vont se dire qu’ils vont pouvoir augmenter les prix. Et dicter à leur seul bon vouloir. Et d’autres groupes, face au succès, vont se lancer dans ce créneau également. Alors que si ça ne marche pas et que personne ne paye (oui je sais, je rêve !), alors les autres groupes ne se lanceront pas dans cette démarche car aucun clients.

S’il n’y a pas de clients face à l’offre, alors l’offre s’atténue.









Z-os a écrit :



Et via la presse libre il y a moyen d’avoir une réduction ?





<img data-src=" />



En couplant à NXI tu gagnes 1 dollar sur ton abonnement Shadow Brokers. <img data-src=" />



Ca va être marrant de voir la réaction des Shadow Brokers lorsqu’on retrouvera leurs fichiers mensuels sur ThePirateBay. <img data-src=" />








127.0.0.1 a écrit :



Ca va être marrant de voir la réaction des Shadow Brokers lorsqu’on retrouvera leurs fichiers mensuels sur ThePirateBay. <img data-src=" />





C’est payable d’avance, ils capitalisent sur cela.









jackjack2 a écrit :



Comment ils peuvent savoir?

En tout cas merci à eux, les gens vont peut-être enfin s’intéresser à la sécurité informatique

PS : “oui mais ya des victimes et tout, pas bien” -&gt; balec





<img data-src=" /> Il faut aussi noter le point positif de l’histoire :

Toutes ces failles utilisées à des fins d’espionnage par la NSA vont être corrigées rapidement, parce que je ne crois pas qu’un état ou une grosse entreprise va prendre le risque de se prendre un nouvel assaut. <img data-src=" />









127.0.0.1 a écrit :



Ca va être marrant de voir la réaction des Shadow Brokers lorsqu’on retrouvera leurs fichiers mensuels sur ThePirateBay. <img data-src=" />





Je vois que 2 groupes de personnes capables de lâcher 24000$ :




  • Les experts en sécurités qui ne mettront pas en ligne de telles informations avant d’avoir trouvé tous les correctifs.

  • Les mafieux qui garderont ces outils pour leur business.





    Il est vrai qu’il pourrait y avoir un 3ème groupe d’anarchistes qui pourrait le diffuser direct sur ThePirateBay mais franchement, j’y crois pas. <img data-src=" />









darkweizer a écrit :



Oui, dans un sens si ça augmente, ça ne sera plus tout le monde qui pourra se procurer ça. Je n’avais pas pensé à ce côté là !

Je voulais dire que si on paye, alors ils vont se dire qu’ils vont pouvoir augmenter les prix. Et dicter à leur seul bon vouloir. Et d’autres groupes, face au succès, vont se lancer dans ce créneau également. Alors que si ça ne marche pas et que personne ne paye (oui je sais, je rêve !), alors les autres groupes ne se lanceront pas dans cette démarche car aucun clients.

S’il n’y a pas de clients face à l’offre, alors l’offre s’atténue.





Ok. Mais c’est pas la communauté scientifique qui va financer tous les groups du monde. Si ça marche, ce ne sera pas de leur fait.









CleMb0 a écrit :



Bon bah y a plus qu’à lancer une campagne de crowfunding pour payer les packs et les donner à la communauté white hat. Comme ça on se posera moins de question niveau éthique puisque la “responsabilité” sera partagée entre les bakers <img data-src=" />





Déconne pas je trouve que c’est une bonne idée !



j’ai vendu tous mes Zcash minés à la sueur de mes GPUs en janvier, pour 30\( chaque, maintenant c'est 250\) US, et ça monte encore … bon au moins les bitcoins que j’ai eu en échange ont augmenté eux aussi


Ce qui est drôle c’est que la NSA vas racheter tout sont bordel. GG les mecs. Bradley Manning relâché, Le visa de Snowden renouvelé, les charges contre Assenge abandonnée, l’année 2017 apporte quelque bonne nouvelle pour ses gens là.


J’ai eu exactement la même idée <img data-src=" /> ça peut très bien marcher n’empêche.


“les pirates ont évoqué des informations sur les partenaires bancaires

SWIFT et même sur les programmes nucléaires russe, chinois et

nord-coréen”

–&gt; du coup il y a un petit risque qu’on se retrouve dans la situation de Wargames?&nbsp; ^^’



Plus sérieusement je suis étonné par le manque de réactions internationales.&nbsp; Mais d’un autre côté quand tout l’arsenal de Kadafi s’est retrouvé en soldes suite à l’intervention d’une bande de guignols en col blanc (déboutonné)… il n’y a pas eu de gros scandale.


Compliqué cette affaire.



Je fais un travail de “white hat” en défense asymétrique, et si j’avais les 24k$, je pense que les claquerais aussi pour ensuite partager avec d’autres wh qui ont un NDA avec MS comme moi, pour pouvoir identifier les failles à l’avance et patcher tout le bousin.


Pour 1 zcash acheté, 1 popcorn offert


Je n’ai pas spécialement suivi l’affaire, mais en dehors des entreprises de sécurités et de Microsoft, il ne semble pas avoir eu de réactions des gouvernements. Pas lu que des responsables de la NSA ait été limogés, ou d’une réforme en profondeur de l’agence, ou que les failles, qui maintenant sont dévoilées soient transmises à Microsoft/Apple et autres pour être corrigées, ce qui serait le minimum. Mais bon, tant que cela ne touchera pas de grandes entreprises Américaines, j’ai l’impression que rien ne changera <img data-src=" />

J’espère qu’au moins les agences de renseignements travaillent discrètement sur cette affaire en cherchant à identifier physiquement les Shadows Brokers.








spidermoon a écrit :



Je n’ai pas spécialement suivi l’affaire, mais en dehors des entreprises de sécurités et de Microsoft, il ne semble pas avoir eu de réactions des gouvernements. Pas lu que des responsables de la NSA ait été limogés, ou d’une réforme en profondeur de l’agence, ou que les failles, qui maintenant sont dévoilées soient transmises à Microsoft/Apple et autres pour être corrigées, ce qui serait le minimum.





D’un point de vue général : les états (à plus forte raison les USA) n’ont pas grand intérêt à communiquer publiquement là-dessus (chaque réponse/justification apportant, je pense, une dizaine de nouvelles questions).

Par ailleurs, je serais surpris que les entrées/sorties (RH) à la NSA soient médiatisées <img data-src=" />

Le lien entre Equation Group et la NSA a été officialisé ? (on a de très fortes présomptions, avec un gros faisceau d’indices, on est bien d’accord mais, d’un point de vue “officiel”, c’est un groupe de pirates qui a pillé un autre groupe*)





* d’autant qu’il y a peut-être une clause “si vous ou l’un de vos hommes étaient pris ou tués…







spidermoon a écrit :



J’espère qu’au moins les agences de renseignements travaillent discrètement sur cette affaire en cherchant à identifier physiquement les Shadows Brokers.





il me semble que c’est leur coeur de métier (la partie en gras pour le moins)



deux gars l’avaient lancé (@x0rz et @hackerfantastic), mais ils viennent d’arrêter pour des raisons principalement légales.


1- la NSA ne communique pas sur ses actions (comme la DGSE d’ailleurs).

2- la NSA a vraisemblablement communiqué avec certaines boites, dont MS justement, puisque la faille eternalblue a été corrigée un mois avant la sortie de WannaCry

3- Il parait évident que les ShadowBrokers ont tout un tas de mecs sur le dos. maintenant si c’est un groupe étatique, ils ont aussi la protection d’un état…








hellmut a écrit :



deux gars l’avaient lancé (@x0rz et @hackerfantastic), mais ils viennent d’arrêter pour des raisons principalement légales.





en même temps, acheter un truc volé, considéré comme un arsenal d’armes électronique en passant par une campagne de don, c’est dur à défendre (les meilleures intentions du monde ne rendent pas légal un truc illégal <img data-src=" /> )



ben ils voulaient partager avec la communauté pour corriger les failles, mais légalement ça doit être du recel, donc c’est chaud. ^^

et puis si derrière un des gars pond un malware, ça devient encore plus chaud. <img data-src=" />


“Après tout, l’agence américaine de renseignement ne détient pas un stock illimité d’outils.“Non mais bon ils peuvent très bien avoir utilisé les outils de la NSA pour aller se servir dans d’autres agences de renseignementS’ils pouvaient en profiter pour compléter&nbsp;la liste des états clients d’Amesys, ça serait sympa :)&nbsp;


&nbsp;Merci pour l’info, intéressant ! Le justificatif d’abandon des deux initiateurs est là :https://pastebin.com/raw/6VJ7XcM0



De toute façon, je pense que les packs tomberont entre les mains de la communauté infosec d’une manière ou d’une autre, ça va vite circuler.

&nbsp;


NSAleaks en approche !


Fermer