Connexion
Abonnez-vous

Shadow Brokers : un abonnement mensuel pour recevoir des archives de failles

Dump Monday, Patch Tuesday

Shadow Brokers : un abonnement mensuel pour recevoir des archives de failles

Le 17 mai 2017 à 06h30

Les Shadow Brokers sont de retour, et n’ont aucune intention de se faire oublier. Les responsables de la fuite de fichiers qui ont permis l’émergence de WannaCrypt annoncent qu’ils publieront chaque mois de nouvelles informations, en allant particulièrement loin. 

On ne sait pas qui sont les pirates du groupe Shadow Brokers. Ils se sont fait connaître en août de l’année dernière en annonçant avoir dérobé tout un lot d’outils et de failles à Equation Group, proche de la NSA (considéré en fait comme faisant partie intégrante de l’agence américaine).

Depuis, les Shadow Brokers sont revenus plusieurs fois sous les feux des projecteurs, particulièrement pour s’en prendre à Donald Trump et sa politique, qu’ils souhaiteraient voir se rapprocher davantage de la Russie. Après avoir fourni en avril des informations qui n’étaient plus de prime fraicheur, ils reviennent une semaine plus tard avec des données beaucoup plus sensibles, notamment sur le malware DoublePulsar, l’une des bases de l’actuel ransomware WannaCrypt, ainsi que sur un lot de failles, dont l’une est actuellement exploitée (EternalBlue).

Ils ne souhaitent manifestement pas qu’on les oublie et ont décidé de proposer… un abonnement mensuel.

Une formule mensuelle pour des informations fraiches

Dans un nouveau communiqué à l’anglais toujours aussi approximatif dans ses tournures, le groupe expose une curieuse philosophie. Ils vont ainsi proposer des informations à la vente. Si personne n’est intéressé, il n’y aura aucun problème de sécurité. Ils semblent particulièrement frustrés de ne pas avoir été pris au sérieux précédemment et ont bien l’intention de remédier à ce « problème ».

Dans leur version toute personnelle des clubs permettant de recevoir tous les mois de nouvelles bouteilles de vin, les pirates proposent donc de s’abonner pour recevoir régulièrement des informations fraiches : exploitations de failles dans les navigateurs, routeurs, smartphones et systèmes d’exploitation, données émanant de banques et de fournisseurs de services SWIFT, informations volées aux réseaux internes de la Russie, de la Chine et de l’Iran, et jusqu’à des données issues… du programme nucléaire nord-coréen.

Un abonnement ouvert à tous

Les pirates ont visiblement changé de technique. On se rappelle qu’initialement, les données dérobées à Equation Group devaient être vendues aux enchères. L’ensemble frôlait le million de dollars, mais personne n’a finalement été intéressé. De frustration, ils avaient fini par donner la clé de l’archive en signe de protestation contre Trump.

Le fonctionnement de l’offre est donc clair : tous ceux qui paieront l’abonnement – le tarif est inconnu – recevront les informations, qui que soient les acheteurs. On peut se demander d’ailleurs si d’autres groupes de pirates auront envie d’investir s’ils doivent se retrouver sur un pied d’égalité et donc en concurrence. Les failles de sécurité 0-day (déjà exploitées quand elles sont révélées à leurs éditeurs respectifs) sont une denrée précieuse dont le trafic nuit largement aux utilisateurs. Là encore, s’il fallait une piqure de rappel, le cas de WannaCrypt illustre parfaitement la situation.

Les Shadow Brokers s’en prennent aux gouvernements et grosses entreprises

Rien ne semble trouver grâce aux yeux des pirates. Ils critiquent particulièrement le gouvernement américain dont la politique de sécurité produit exactement le résultat inverse.

Les pirates vont jusqu’à l’accuser en fait d’avoir des espions et agents au sein-même des grandes entreprises américaines, notamment chez Microsoft. Il ferait ainsi un véritable travail de sape en leur demandant de ne pas corriger certaines failles, afin qu’elles puissent continuer à être exploitées au cours des missions.

Ils en tiennent pour preuve les informations révélées en avril. Microsoft avait rapidement réagi pour indiquer que la quasi-totalité de ces failles avait déjà été corrigée lors du Patch Tuesday de mars. Signe pour les pirates d’une communication malsaine. Une explication plausible est plutôt que la NSA, sachant que ces informations étaient sur le point d’être révélées et ne pouvant rien y faire, aurait averti Microsoft pour limiter les dégâts. Au vu des dégâts provoqués par WannaCrypt, on se rend bien compte que même deux mois ne sont pas suffisants.

Même le programme Project Zero de Google ne trouve pas grâce aux yeux des Shadow Brokers. Il n’y aurait ainsi aucune coïncidence entre les informations données par le chercheur Tavis Ormandy sur une faille dans Windows Defender et la correction extrêmement rapide faite par Microsoft. À vrai dire, on ne sait pas bien où les pirates veulent en venir. Ils se montrent toutefois beaucoup plus clairs en indiquant qu’un authentique membre d’Equation Group travaille dans le Project Zero.

L’annonce doit-elle être prise au sérieux ?

C’est la grande question. Car en dépit d’un style quelque peu loufoque dans la présentation et des annonces grandiloquentes, les Shadow Brokers ont prouvé à chaque fois leurs dires et joint le geste à la parole.

S’ils mettent leur plan à exécution, alors la première archive mensuelle sera fournie en juin. Rien ce mois-ci, les pirates indiquant qu’ils « mangent du popcorn » en profitant du spectacle offert par WannaCrypt. Et d’annoncer d’ailleurs dans la foulée que « selon l’oracle », c’est bien la Corée du Nord qui serait derrière cette attaque. Des propos que ne viennent étayer évidemment aucun complément d’information.

Il y a dans tous les cas de fortes chances que les pirates mettent leur plan à exécution, ce qui pourrait provoquer de nouvelles catastrophes. D’autant que cette fois, on ne sait pas d’où viennent réellement ces informations. Dans le cas d’Equation Group, la NSA pouvait avoir en effet une idée très précise de ce qui allait être diffusé. Cette fois, les données pourraient bien être plus surprenantes, d’autant que les Shadow Brokers insistent sur la fraicheur des informations, précisant au passage que Windows 10 est concerné.

Il est probable qu’un grand nombre d’acteurs se tiennent maintenant sur leurs gardes. Malheureusement, il est tout aussi probable qu’il faudra attendre le mois prochain pour savoir de quoi il retourne. Les pirates communiqueront sans doute à nouveau, ne serait-ce que pour donner le tarif et la marche à suivre.

Commentaires (57)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Avec le nombre d’articles sur le sujet, on en arrive à rire des illustrations.

Sur un tel sujet, qui le résoud depuis sa salle machine plutôt que son poste de travail plus comfortable?

Lumière bleue en présence de personne dans la salle? Dans toutes celles que j’ai pu visiter, c’est de la lumière blanche. On y voit rien en bleu comme cela si on fait tomber une vis… et croyez-moi, on en fait tomber!



Ca serait sympa d’arrêter d’alimenter les clichés véhiculés par la presse ignare vis à vis de notre métier. On vaut tous ici mieux que cela :)

votre avatar

Je suis pas fortiche en anglais, mais je suis d’accord, c’est une prose imbit… heu, imbuvable. Et je ne comprends pas comment la NSA ou autre agence n’est pas capable de les retrouver ? Ou alors ça les arrangent.

votre avatar

Imbitable est un terme correct.

votre avatar

Il faut passer à l’Esperanto, c’est plus facile à apprendre et réellement international.

votre avatar

Au pire, la NSA peut payer l’abonnement et dire à Microsoft/Google/Apple quelles failles boucher ou non, selon ce qui est utilisé par les groupes malveillants et ce que eux utilisent pour espionner la population.

votre avatar

Merci pour tous ces articles pertinents

votre avatar

Et pourquoi pas en solresol ?

votre avatar

Les commentaires sur cette page expliquent pourquoi l’Esperanto est très intéressant :

http://sametmax.com/les-causes-perdues-de-la-linguistiques/

votre avatar

Il y a probablement plus d’espérantistes que de volapükistes, mais je ne suis pas sur que les latinistes ne soient pas encore les plus nombreux.

votre avatar







Mimoza a écrit :



Ils faut que ton image soit libre de droit … ou que NXI ai une licence d’utilisation. Pas si facile de trouver des images de bonne qualité en quantité suffisante pour illustrer toutes les news





Pk pas des photos de Vincent qui tapote du clavier devant un pti powershell custom <img data-src=" />


votre avatar

“Rien ce mois-ci, les pirates indiquant qu’ils «&nbsp;mangent du popcorn&nbsp;» en profitant du spectacle offert par WannaCrypt

&nbsp;Vous m’en gardez un peu??





Je comprends que les blacks-hats soient détestés, mais les “gentils flics” (alias grey ou white-hats) n’arrivent pas à faire comprendre certains préceptes. Alors le “méchant flic” agit et toute de suite la leçon passe mieux (mais douloureusement).



Je dirais que Mme Michu est aussi fautive (indirectement). Depuis les années 2000, les informaticiens disent qu’ils faut des cours sérieux à l’informatique (qui ne se résumerait pas à savoir lancer word et manipuler IE6), voir qu’il faudrait une filière informatique pour augmenter dans la population les gens comprennent les enjeux.



Résultat, le numérique est géré par Bercy ou le ministère de la culture. On le résume à son aspect financier, jamais on l’étend à ses dimensions sociétales.

La population&nbsp; échoue pour avoir du mieux sur le numérique, une formation conséquente de la population sur ces notions, d’où les problèmes que pose la NSA & Co.

&nbsp;

Et je doute que Macron n’ait autre chose qu’une vision financière du numérique.

votre avatar







Niktareum a écrit :



Pk pas des photos de Vincent qui tapote du clavier devant un pti powershell custom <img data-src=" />





Avec un grand mug de café, c’est l’important.


votre avatar







Niktareum a écrit :



Si c’est 4 balles par mois, je bascule mon abo NxI <img data-src=" />





<img data-src=" /> <img data-src=" />


votre avatar



Les pirates vont jusqu’à l’accuser en fait d’avoir des espions et agents

au sein-même des grandes entreprises américaines, notamment chez

Microsoft. Il ferait ainsi un véritable travail de sape en leur

demandant de ne pas corriger certaines failles, afin qu’elles puissent

continuer à être exploitées au cours des missions.



Tu parles d’un scoop…<img data-src=" />

votre avatar

Je paierai pas deux balles pour de l’anglais à trois balles. Sérieux, ils peuvent pas prendre des cours d’anglais, les Shadow Brokers ? J’ai beau être nul en anglais, ça écorche la rétine de lire leur bidule.



Ce qui m’étonne, c’est qu’il y a quand même des russes qui parlent bien anglais ; étonnant qu’ils n’en aient pas trouvé au moins un pour écrire leur communiqué. Ou alors le gars est tout seul. Ou il est pas russe. Allez savoir.

votre avatar

Ouais, enfin toute l’affaire WannaCry a été manigancée par NSA+Microsoft pour pousser les gens à activer l’installation automatique des patchs de télémétrie/spyware. <img data-src=" />



#AltFacts

votre avatar

Si tu t’intéresse un peu au fonctionnement du worm qui porte Wncry, tu te rends compte que madame Michu derrière son petit NAT ne craint pas grand chose.

Il y a sûrement quelques novices qui se sont fait owned mais ça reste majoritairement du serveur en IP publique sans la MAJ de mars

votre avatar

+1 <img data-src=" /> j’ai lu 2 lignes et j’ai fermé, trop de sang qui coule de mes yeux <img data-src=" />

votre avatar

Comme le défibrilateur pour faire repartir un coeur qui ne bat plus du tout dans Grey’s Anatomy ? :)

C’est sur que c’est plus évocateur mais ça n’éduque pas beaucoup les gens :(

votre avatar

C’est bien parce que vous n’êtes pas ignares que je me permet de faire ce commentaire.

Je redirige pas mal d’amis/famille/collègues sur NextInpact pour les éduquer. Et là on retrouve une photo digne du Figaro (bon, c’est souvent sur les autres articles le cas mais l’accumulation m’a fait réagir).



Mon souci est que quand on récupère un stagiaire ou on discute avec des gens pour les pousser à venir vers l’informatique, ils croient qu’on bosse dans un environnement super high tech et sont déçu par la suite du boulot proposé quand au final, ça n’a rien du rêve vendu par les films, les séries ou les articles de presse, même spécialisée du coup.

Une photo d’un écran avec un % du parc infecté avec qqun qui se tient la tête pareil aurait été parfaite ;) Mais désolé, je ne bosse pas chez Renault, je ne peux pas fournir une telle image <img data-src=" />

votre avatar







letter a écrit :



Mais désolé, je ne bosse pas chez Renault, je ne peux pas fournir une telle image <img data-src=" />





Voyou !

Tu aurais pu bosser dans un hôpital anglais… <img data-src=" />


votre avatar







janiko a écrit :



Je paierai pas deux balles pour de l’anglais à trois balles. Sérieux, ils peuvent pas prendre des cours d’anglais, les Shadow Brokers ? J’ai beau être nul en anglais, ça écorche la rétine de lire leur bidule.



Ce qui m’étonne, c’est qu’il y a quand même des russes qui parlent bien anglais ; étonnant qu’ils n’en aient pas trouvé au moins un pour écrire leur communiqué. Ou alors le gars est tout seul. Ou il est pas russe. Allez savoir.





Ce qui est étonnant, c’est que certains croient encore à des subterfuges aussi grossiers pour faire croire que c’est des russes. S’en est peut-être mais c’est peut-être des somaliens ou des Mexicains…


votre avatar

Ou des nord-coréens <img data-src=" />

votre avatar







data_gh0st a écrit :



+1, c’est grâce à eux que les gens commencent à prendre conscience de l’importance d’une bonne hygiène informatique, et que l’infosec ne fait plus juste soupirer le département finance.





Ouais je suis d’accord: on devrait diffuser le virus de la tuberculose partout dans le monde pour éduquer les gens sur l’intérêt de la vaccination. <img data-src=" />


votre avatar

Ben, ils le font déjà avec l’autisme, pourtant, en France tlm s’en bats les rouleaux…

votre avatar







carbier a écrit :



Ouais je suis d’accord: on devrait diffuser le virus de la tuberculose partout dans le monde pour éduquer les gens sur l’intérêt de la vaccination. <img data-src=" />





Ton analogie n’est pas du tout adapté, pas de morts (même si ça a failli), juste une perte d’argent pour certaines entreprises.

Et un bon de géant dans la compréhension des règles de base


votre avatar

La dernière mise à jour Open Office m’a protégé de l’infection.

votre avatar







jackjack2 a écrit :



[réf. nécessaire]



Contrairement aux black hats, un grey hat ne fait pas de destruction… Ou pas volontairement, du moins. C’est le principe même du grey hat (hacker qui cherche des failles pour diverses raisons, mais qui ne cherche pas à en profiter dans son propre intérêt ensuite)…







Aytine a écrit :



Et il est où le malware-patch eternalblue de tes grey hats ? Ils ont eu le temps pourtant.

Les gens ne bougent jamais aussi bien qu’avec un gros coup de pied au c



Les grey hats ne sont pas là pour faire le boulot de MS et des entreprises, hein.


votre avatar

<img data-src=" />

votre avatar







Ricard a écrit :



Ce qui est étonnant, c’est que certains croient encore à des subterfuges aussi grossiers pour faire croire que c’est des russes. S’en est peut-être mais c’est peut-être des somaliens ou des Mexicains…







Note : ce n’est pas le niveau d’anglais affiché dans les posts des Shadow Brokers qui incitent les personnes s’intéressant au sujet de soupçonner les russes (ou d’autres). Faut être sérieux mais c’est trop long (et trop de texte à taper pour être sérieux).



Et je rappelle le principe ici : les articles sont censés être sérieux, les commentaires farfelus. Je dis bien : en principe <img data-src=" />


votre avatar

Nouvelle mode, se balader avec un chapeau pointu de couleur noir ou gris.<img data-src=" />

votre avatar

Flemme de répéter, Aytine et d’autres ont déjà très bien exprimé le fond de ma pensée là dessus : )

votre avatar

[mode Troll ON ]

Et le SIDA ; Il vient d’où d’après toi ?&nbsp;

La CIA voulait faire la nique aux Homox, mais on oublié que dans le lot il y en avait qui étaient&nbsp; bi ou mieux encore étaient des&nbsp; bons citoyens qui donnaieant leur sang, par exemple …

[mode Troll Off]

votre avatar







data_gh0st a écrit :



Flemme de répéter, Aytine et d’autres ont déjà très bien exprimé le fond de ma pensée là dessus : )





La portée supposée du préjudice ne met pas en défaut l’analogie.

De plus la portée de l’attaque a été minimisée grace à l’intervention chanceuse d’une tierce personne.

Et pour finir quand on répand ce genre d’attaque tous azimuts, il faut être particulièrement sur de soi pour affirmer qu’aucune catastrophe ne pourrait en découler.



Tu as peut être la flemme de répéter, mais cela ne rend pas ton post initial plus pertinent pour autant.


votre avatar







carbier a écrit :



Ouais je suis d’accord: on devrait diffuser le virus de la tuberculose partout dans le monde pour éduquer les gens sur l’intérêt de la vaccination. <img data-src=" />





De la part de quelqu’un qui se prétend régulièrement mesuré comparé aux autres, c’est assez magnifique. Je devrais l’encadrer. <img data-src=" />


votre avatar







matroska a écrit :



La dernière mise à jour Open Office m’a protégé de l’infection.





<img data-src=" /> On est jamais trop prudent.


votre avatar







Niktareum a écrit :



Ou des nord-coréens <img data-src=" />





<img data-src=" />&nbsp;Z’ont pas INternet.


votre avatar







carbier a écrit :



La portée supposée du préjudice ne met pas en défaut l’analogie.

De plus la portée de l’attaque a été minimisée grace à l’intervention chanceuse d’une tierce personne.

Et pour finir quand on répand ce genre d’attaque tous azimuts, il faut être particulièrement sur de soi pour affirmer qu’aucune catastrophe ne pourrait en découler.



Tu as peut être la flemme de répéter, mais cela ne rend pas ton post initial plus pertinent pour autant.





Au passage, faut quand même rappeler qu’un black hat est là pour le profit, pas pour éduquer…. donc qu’il y ait de la casse, osef. De meme parler de répandre un virus n’a de sens similaire ici que si l’émetteur peut en tirer un bénéfice direct. c’est rarement l’anarchiste qui fait ca juste pour voir le monde bruler (meme si ca arrive parfois ^^ )


votre avatar

sauf si tu as des actions dans le laboratoire qui produit le vaccin et/ou médicament <img data-src=" /> et qu’en plus tu veux voir le monde se déchirer

mais je crois qu’on s’éloigne un peu la <img data-src=" />

votre avatar

C’est comme ça que j’écris mes actus&nbsp;<img data-src=" />

votre avatar







letter a écrit :



Une photo d’un écran avec un % du parc infecté avec qqun qui se tient la tête pareil aurait été parfaite ;) Mais désolé, je ne bosse pas chez Renault, je ne peux pas fournir une telle image <img data-src=" />





I see what you did here&nbsp;<img data-src=" />


votre avatar

ou alors, tu prends ta photo avec un réglage “balance de blanc tungstène” et paf, toute lumière blanche devient bleue.



&nbsp;

votre avatar



Le fonctionnement de l’offre est donc clair : tous ceux qui paieront l’abonnement – le tarif est inconnu – recevront les informations, qui que soient les acheteurs.



Si c’est 4 balles par mois, je bascule mon abo NxI <img data-src=" />

votre avatar

Ce qui est pratique avec ce genre de clichés c’est que c’est plus évocateur que la réalité d’un individu lambda dans un bureau lambda.

votre avatar

Je propose cette image pour le prochain article :&nbsp;

&nbsp;http://www.cimg.in/images/2017/03/31/27/141869802_14909434351_large.jpg

votre avatar

Plus le temps passe, plus je déteste les black hats…

votre avatar







Patch a écrit :



Plus le temps passe, plus je déteste les black hats…





Pourquoi donc ?

Parce que quand on y pense, les choses ont jamais autant bougé en infosec que depuis leur arrivée…


votre avatar







Aytine a écrit :



Pourquoi donc ?

Parce que quand on y pense, les choses ont jamais autant bougé en infosec que depuis leur arrivée…



Les grey hats font aussi bien, sans tout détruite.


votre avatar







Patch a écrit :



Les grey hats font aussi bien, sans tout détruite.





[réf. nécessaire]


votre avatar







Patch a écrit :



Les grey hats font aussi bien, sans tout détruite.







Et il est où le malware-patch eternalblue de tes grey hats ? Ils ont eu le temps pourtant.

Les gens ne bougent jamais aussi bien qu’avec un gros coup de pied au c


votre avatar

Raah, encore un abonnement de plus !&nbsp;<img data-src=" />

votre avatar

+1, c’est grâce à eux que les gens commencent à prendre conscience de l’importance d’une bonne hygiène informatique, et que l’infosec ne fait plus juste soupirer le département finance.

votre avatar

Hé bien, qui l’eut cru ? :)



L’idée, c’était de transmettre une notion de désespoir et de panique en vue de tous les problèmes qui pourraient découler. Nous ne sommes pas “ignares”, nous ne véhiculons pas de “clichés”, et pour avoir été moi-même administrateur, je sais que l’immense majorité des réglages ne se fait dans une salle high-tech façon 24h Chrono. C’était simplement une évocation des crises potentielles à venir ;)

votre avatar

Ok c’est bien mais qu’en est il des dommages collatéraux chez Mme Dupond et M Durand qui n’ont rien demandé

Ou Mamy Michelle qui a perdu toutes les photos de ses petits enfants …

Ne va pas dire que eux devrait connaitre (toutes) les règles de bonne hygiène informatique?



Autant je suis d’accord que cela fait bouger les choses, autant les méthodes sont parfois…trop violentes

Pour une entreprise? Oui bon ils devraient être au fait de ses problèmes (mais pense t’on réellement aux implications que peut avoir ce genre de chose sur le quotidien des salariés qui n’ont eux RIEN demandé)



Donc oui montrer qu’il y a faille c’est bien.

Géner un peu, c’est déjà moyen

Détruire, c’est trop radical

votre avatar

Ils faut que ton image soit libre de droit … ou que NXI ai une licence d’utilisation. Pas si facile de trouver des images de bonne qualité en quantité suffisante pour illustrer toutes les news

votre avatar



Dump Monday, Patch Tuesday





Je dump le lundi

Je patch le mardi

Je troll le mercredi

Et les autres jours aussi

votre avatar







Kalsth a écrit :



Ou Mamy Michelle qui a perdu toutes les photos de ses arrières petits enfants …





Ptain, tu connais ma grand-mère <img data-src=" />


Shadow Brokers : un abonnement mensuel pour recevoir des archives de failles

  • Une formule mensuelle pour des informations fraiches

  • Un abonnement ouvert à tous

  • Les Shadow Brokers s’en prennent aux gouvernements et grosses entreprises

  • L’annonce doit-elle être prise au sérieux ?

Fermer