Les pirates du groupe Shadow Brokers ont finalement étalé hier soir les conditions de leur « abonnement ». Pour 24 000 dollars par mois environ, ils proposent un pack mensuel de failles de sécurité et d’outils, dont on suppose qu’au moins une bonne partie proviendront de la NSA. Une formule qui pose bien des questions, notamment d’ordre éthique.
Les Shadow Brokers se sont fait connaître il y a plusieurs mois et ont enchainé depuis les publications cataclysmiques. Ce fut très notablement le cas de celle d’avril, qui contenait des informations sur des failles récentes ainsi que des outils de la NSA. Deux éléments en particulier ont eu de grandes répercussions : le malware DoublePulsar et la faille SMB dans Windows surnommée EternalBlue.
On connait les conséquences, puisqu’ils ont servi de base à la création de WannaCrypt, le ransomware responsable de centaines de milliers d’infections, et donc de problèmes pour les structures et entreprises touchées. Ce fut notamment le cas du système de santé anglais, ou encore de Renault, dont plusieurs usines avaient été mises à l’arrêt. Sans parler du vaste débat sur le stockage des failles par les États relancé par le malware.
Bien décidé à creuser cette voie, le ou les pirates ont indiqué il y a deux semaines qu’ils proposent un abonnement pour diffuser, contre des espèces sonnantes et trébuchantes, une distribution de failles et autres outils du renseignement sur une base mensuelle. Dont acte.
24 000 dollars par mois pour des lots de failles
Voici donc ce que proposent les pirates. Pour 100 zCash (une cryptomonnaie) par mois, soit environ 24 000 dollars, ils fourniront un pack contenant des détails sur des failles de sécurité ainsi que différents outils. On estime que ces derniers serviront à exploiter les premières, mais il peut s’agir de programmes plus généraux.
Ces données proviendront en grande majorité de la NSA, mais il est probable que les sources se diversifient par la suite. Après tout, l’agence américaine de renseignement ne détient pas un stock illimité d’outils. Les Shadow Brokers évoquent une diffusion sur au moins plusieurs mois, même si le nombre d’outils compris dans chaque pack reste à déterminer.
Le communiqué des pirates contient l’adresse où effectuer le versement, et ils préviennent que le cours du zCash risque d’augmenter. Il faut donc, d'après eux, se dépêcher. Les paiements pourront être effectués entre le 6 et le 30 juin pour recevoir la première livraison, qui sera accompagnée d’un lien et d’un mot de passe durant la première quinzaine de juillet. Des informations seront également données sur le prochain pack.
Notez que les pirates ont évoqué des informations sur les partenaires bancaires SWIFT et même sur les programmes nucléaires russe, chinois et nord-coréen. Des données qui, si elles sont réelles, seraient extrêmement sensibles.
Les Shadow Brokers sont-ils sérieux ?
Rien à ce jour ne permet de penser que ce n’est pas le cas. Les pirates ont laissé un véritable sillage de faits très concrets. Toutes leurs menaces ont été mises à exécution jusqu’à présent, et même si toutes les publications n’ont pas eu d’effet, il est plus que probable qu’ils ont encore de nombreuses surprises en réserve.
La manière dont ils s’y sont pris reste un mystère. Ils s’étaient copieusement moqués de la NSA pour le manque de sécurisation de certains serveurs. On se rappelle que le vol initial avait été perpétré contre Equation Group, une cellule de pirates que beaucoup décrivent comme très proche de la NSA, voire faisant partie intégrante de l’agence. Le premier vol avait pu avoir lieu car un « agent » les avait laissés sans protection spécifique sur un serveur.
On ignore encore la portée de ce cambriolage. Soit les Shadow Brokers ont bien publié tout ce qui avait été pris à cette occasion et ont eu d’autres sources, soit la fuite était plus importante que ce qui en a été montré. Rappelons que dans une précédente publication, les pirates ont affirmé détenir environ 75 % de l’arsenal de la NSA, ce qui reste évidemment à prouver.
Une proposition qui soulève des questions éthiques
Le simple fait de proposer une formule d’abonnement mensuel pose un véritable problème dans le monde de la sécurité. Face à cette « opportunité », les chercheurs n’ont que deux solutions : payer et faire leur jeu, ou ne pas payer et prendre le risque de se retrouver démunis face à d’éventuelles attaques.
Le problème est particulièrement concret depuis le passage de WannaCrypt. Les dégâts ont été importants, mais ont pourtant été atténués par la publication le mois précédent de mises à jour logicielles par Microsoft. Toutes les principales failles – dont EternalBlue – avaient été corrigées. On supposait alors que la NSA pouvait très bien avoir donné les informations à l’éditeur, consciente qu’elle ne pouvait plus empêcher la publication des vulnérabilités. Une piste que le Washington Post a explorée il y a deux semaines, affirmant que cette communication avait bien eu lieu.
Comment prévoir dès lors les futures catastrophes si les données des Shadow Brokers ne sont pas analysées pour voir les failles et techniques qui seront exploitées ? D’un autre côté, si des chercheurs acceptent de payer, cela revient à financer des pirates pour d’éventuelles actions ultérieures.
Un dilemme résumé notamment par Matthew Hickey, cofondateur de la société Hacker House, qui a indiqué à Ars Technica : « J’ai un vrai problème moral [avec cette situation]. Soutenir un comportement criminel enverrait un mauvais message. D’un autre côté, je pense que 24 000 dollars sont un petit prix à payer pour éviter un autre WannaCrypt, et je pense que de nombreuses victimes partagent ce sentiment ».
Par ailleurs, cette piquante situation soulève d’autres questions, en particulier sur les motivations des pirates, et bien sûr sur leur identité.
Les objectifs des pirates restent un mystère
L’un des plus gros problèmes au sujet des Shadow Brokers est leur identité. Il existe des pistes menant vers la Russie, d’autres vers la Corée du Nord, mais la vérité est qu’il n’existe aucune preuve définitive.
Avec l’identité viennent les objectifs : on ne sait ce que veulent vraiment les Shadow Brokers. Demander 24 000 dollars pour un pack de failles et d’outils semble dérisoire comparé au potentiel d’une seule faille bien placée. On se rappelle ainsi comment le FBI avait payé au moins 1,4 million de dollars pour la faille qui lui avait permis de percer les défenses d’iOS 9 dans un iPhone 5C dans l’affaire San Bernardino.
EternalBlue, utilisée par WannaCrypt, aurait donc très bien pu être revendu dans cette gamme de prix. Les Shadow Brokers ont cependant décidé de publier gratuitement ces informations, pour le « simple plaisir » de mettre la pagaille... Et fournir un échantillon du contenu de leur besace. Au vu du résultat, la mission est de ce point réussie. À se demander en fait si les 100 zCash ne sont pas là surtout pour brouiller les pistes et laisser penser qu’il s’agit bien de pirates « classiques », et non plus d’une agence étrangère de renseignement.
Langage puéril d'un côté, promesses tenues de l'autre
Les traces laissées par les Shadow Brokers ont de quoi rendre perplexe. Les communiqués sont ainsi rédigés dans un anglais approximatif, laissant apparaître un caractère presque infantile, avec un ton particulièrement railleur et orgueilleux, certaines des réactions laissant penser à une fierté blessée. Mais dans l’absolu, ces éléments de langage ne veulent rien dire.
Le projet Marble de la CIA, révélé par Wikileaks, a montré comment les agences de renseignement pouvaient consacrer de nombreux effort à masquer leurs traces. Pour rappel, Marble permettait de cacher la provenance d’un code, voire de le modifier afin de renvoyer dans une autre direction, par exemple une agence ennemie. Des malwares ont ainsi pu être attribués par erreur à certains pays au cours des années précédentes. Il n’est donc pas difficile d’imaginer que ces textes, qui paraissent parfois si puérils, soient en fait des constructions méticuleuses, encore une fois pour brouiller les pistes.
D'un autre côté, et alors que le langage pourrait laisser penser à un groupe de jeunes pirates désorganisés, ils ont prouvé à chaque fois qu'ils étaient capables de tenir leurs engagements. D'autant que s'ils détiennent vraiment 75 % du « cyberarsenal » de la NSA tout en ayant jusqu'à présent réussi à cacher leur identité, c'est qu'ils n'ont rien d'amateurs. Ce qui renforce l'idée d'un groupe très organisé se faisant passer pour ce qu'il n'est pas. La revente « sûre » des failles pour 100 zCash mensuels, plutôt qu'une exploitation concrète plus aléatoire, pourrait aller en ce sens.
Il ne reste dans tous les cas qu’à attendre, car le sérieux de la menace ne pourra être mesuré qu'avec le contenu du premier pack. Les Shadow Brokers n’indiquent pas exactement quand il sera diffusé, en dehors de la « première moitié de juillet ».
Commentaires (35)
#1
Et ben on a pas fini avec les attaques d’envergure à répétition… GG les gars." />
#2
Très bon article qui explique bien le fond du problème.
Payer ou pas telle est la question…
Dans tous les cas si le problème est réel, les admins vont avoir encore pas mal de maj à passer en urgence pour combler ces failles….
#3
#4
Rappelons que dans une précédente publication, les pirates ont affirmé détenir environ 75 % de l’arsenal de la NSA, ce qui reste évidemment à prouver.
Comment ils peuvent savoir?
En tout cas merci à eux, les gens vont peut-être enfin s’intéresser à la sécurité informatique
PS : “oui mais ya des victimes et tout, pas bien” -> balec
#5
Et comment peuvent-ils être surs de pouvoir continuer à piller la NSA mensuellement? C’est payable d’avance les 24 000, ou à la livraison?
#6
#7
#8
Et via la presse libre il y a moyen d’avoir une réduction ?
#9
#10
#11
#12
Bon bah y a plus qu’à lancer une campagne de crowfunding pour payer les packs et les donner à la communauté white hat. Comme ça on se posera moins de question niveau éthique puisque la “responsabilité” sera partagée entre les bakers " />
#13
#14
#15
Ca va être marrant de voir la réaction des Shadow Brokers lorsqu’on retrouvera leurs fichiers mensuels sur ThePirateBay. " />
#16
#17
#18
#19
#20
#21
j’ai vendu tous mes Zcash minés à la sueur de mes GPUs en janvier, pour 30\( chaque, maintenant c'est 250\) US, et ça monte encore … bon au moins les bitcoins que j’ai eu en échange ont augmenté eux aussi
#22
Ce qui est drôle c’est que la NSA vas racheter tout sont bordel. GG les mecs. Bradley Manning relâché, Le visa de Snowden renouvelé, les charges contre Assenge abandonnée, l’année 2017 apporte quelque bonne nouvelle pour ses gens là.
#23
J’ai eu exactement la même idée " /> ça peut très bien marcher n’empêche.
#24
“les pirates ont évoqué des informations sur les partenaires bancaires
SWIFT et même sur les programmes nucléaires russe, chinois et
nord-coréen”
–> du coup il y a un petit risque qu’on se retrouve dans la situation de Wargames? ^^’
Plus sérieusement je suis étonné par le manque de réactions internationales. Mais d’un autre côté quand tout l’arsenal de Kadafi s’est retrouvé en soldes suite à l’intervention d’une bande de guignols en col blanc (déboutonné)… il n’y a pas eu de gros scandale.
#25
Compliqué cette affaire.
Je fais un travail de “white hat” en défense asymétrique, et si j’avais les 24k$, je pense que les claquerais aussi pour ensuite partager avec d’autres wh qui ont un NDA avec MS comme moi, pour pouvoir identifier les failles à l’avance et patcher tout le bousin.
#26
Pour 1 zcash acheté, 1 popcorn offert
#27
Je n’ai pas spécialement suivi l’affaire, mais en dehors des entreprises de sécurités et de Microsoft, il ne semble pas avoir eu de réactions des gouvernements. Pas lu que des responsables de la NSA ait été limogés, ou d’une réforme en profondeur de l’agence, ou que les failles, qui maintenant sont dévoilées soient transmises à Microsoft/Apple et autres pour être corrigées, ce qui serait le minimum. Mais bon, tant que cela ne touchera pas de grandes entreprises Américaines, j’ai l’impression que rien ne changera " />
J’espère qu’au moins les agences de renseignements travaillent discrètement sur cette affaire en cherchant à identifier physiquement les Shadows Brokers.
#28
#29
deux gars l’avaient lancé (@x0rz et @hackerfantastic), mais ils viennent d’arrêter pour des raisons principalement légales.
#30
1- la NSA ne communique pas sur ses actions (comme la DGSE d’ailleurs).
2- la NSA a vraisemblablement communiqué avec certaines boites, dont MS justement, puisque la faille eternalblue a été corrigée un mois avant la sortie de WannaCry
3- Il parait évident que les ShadowBrokers ont tout un tas de mecs sur le dos. maintenant si c’est un groupe étatique, ils ont aussi la protection d’un état…
#31
#32
ben ils voulaient partager avec la communauté pour corriger les failles, mais légalement ça doit être du recel, donc c’est chaud. ^^
et puis si derrière un des gars pond un malware, ça devient encore plus chaud. " />
#33
“Après tout, l’agence américaine de renseignement ne détient pas un stock illimité d’outils.“Non mais bon ils peuvent très bien avoir utilisé les outils de la NSA pour aller se servir dans d’autres agences de renseignementS’ils pouvaient en profiter pour compléter la liste des états clients d’Amesys, ça serait sympa :)
#34
Merci pour l’info, intéressant ! Le justificatif d’abandon des deux initiateurs est là :https://pastebin.com/raw/6VJ7XcM0
De toute façon, je pense que les packs tomberont entre les mains de la communauté infosec d’une manière ou d’une autre, ça va vite circuler.
#35
NSAleaks en approche !