Ils avaient tiré leur révérence à l’aube de l’intronisation du 45e président des États-Unis en janvier dernier. Déçus par Donald Trump, les Shadow Brokers (« courtiers de l’ombre ») ont dévoilé en début de mois de nouveaux outils de surveillance de la NSA subtilisés l’été dernier.
Dans un message à l’anglais trébuchant, le groupe de hackers dénonce tantôt l’éviction de Steve Bannon du Conseil de sécurité nationale, la frappe en Syrie en représailles à l’utilisation d’armes chimiques et l’abandon de « sa base » pour justifier cette nouvelle publication.
« Cher Président Trump,
Respectueusement, putain qu’est-ce que vous faites ? […] TheShadowBrokers est en train de perdre foi en vous. Est en train d’apparaître que vous abandonnez “votre base”, “le mouvement” et le gens qui vous élisez. […] Si vous avez fait des “deal(s)” être en train de le dire aux gens, les gens apprécient la transparence. Mais quel genre de deal peut être en train d’aboutir à des armes chimiques utilisées en Syrie, le retrait de M. Bannon du NSC, frappe militaire américaine en Syrie, et vote avec succès pour la Cour suprême des Etats-Unis sans changer règles ? » [sic]
Si ce message peut prêter à sourire, les conséquences de cette publication promettent d’être dévastatrices.
Des outils de piratages pour prendre le contrôle de machines installées sous Windows
Les derniers outils dévoilés permettent d’infecter les ordinateurs fonctionnant sous Windows, afin d’en prendre le contrôle. Une aubaine pour n’importe quel hacker. Depuis le début du mois et la publication de ces nouveaux outils, de nombreuses machines seraient infectées, si l’on en croit les différentes recherches menées par des chercheurs en sécurité informatique.
Microsoft assure avoir apporté des correctifs aux failles utilisées dans les malwares de la NSA, mais de nombreux serveurs non patchés seraient infectés par Double Pulsar. D’autant que Redmond ne met plus à jour certaines versions de son OS jugées obsolètes.
La société Countercept a notamment publié un script permettant de détecter les systèmes infectés par le logiciel malveillant. Résultat ? Le nombre d’infections dépasse les 100 000 ordinateurs à travers le monde (une majorité aux États-Unis, environ 300 en France) et sa croissance est fulgurante : +72 % en l’espace de quelques jours selon les experts de Binary Edge qui ont éprouvé le script.
Toutefois, les chiffres varient d’une société à l’autre, certains pointant la possibilité de faux positifs, comme le chercheur Rob Graham qui n’a détecté « que » 41 000 infections.
Reste que l’expert en sécurité informatique Dan Tentler est plus pessimiste. Interrogé par Ars Technica, il explique avoir opéré une vérification manuelle de 50 systèmes censément infectés par DoublePulsar et tous l’étaient réellement. Pour lui, il faut s’attendre à un véritable « bain de sang ».
Interesting!
new scan suggests ~25% of all vulnerable smb machines publicy exposed are currently infected.expect more bloodbath. pic.twitter.com/2rR4Yyhxtc
— Dan Tentler (@Viss) 24 avril 2017
Une fois infecté, l’ordinateur peut servir à infecter d’autres systèmes, ensuite transformés en véritable réseau d’ordinateurs zombies pour mener des attaques d’une tout autre ampleur.
La NSA piratée par les « courtiers de l’ombre »
Rappel des faits : en août dernier, un groupe de hackers répondant au nom de « Shadow Brokers » (les courtiers de l’ombre), prétendait avoir hacké la NSA
Plus concrètement, ces pirates assuraient avoir hacké des systèmes informatiques utilisés par Equation, la TAO (Tailored Access Operations) pour « opérations d’accès sur mesure ». Un groupe que Kasperky Lab identifie comme lié à la NSA, depuis la découverte du ver informatique Fanny en 2015.
A la clé, plusieurs programmes de surveillance que le groupe entendait vendre au plus offrant. Certains fichiers, dont les plus récents datent de 2013, contenaient divers outils de surveillance permettant d’exploiter des failles dans des équipements de sécurité des réseaux, des pare-feu fabriqués par trois entreprises américaines, Juniper, Cisco et Fortinet, et par le chinois Topsec.
Ce hack avait alors valeur d’avertissement : « Nous voulons que les riches élites prennent conscience du danger que font peser les cyber-armes, ce message et notre vente aux enchères, sur leur richesse et leur contrôle », expliquait ainsi Shadow Brokers, dont les motivations restent à ce jour confuses.
The hack of an NSA malware staging server is not unprecedented, but the publication of the take is. Here’s what you need to know: (1/x)
— Edward Snowden (@Snowden) 16 août 2016
« Le hack d’un serveur intermédiaire de malware n’est pas sans précédent, mais le fait de le rendre public oui. »
Un piratage au gout de guerre froide
Pour Edward Snowden, si le piratage de la NSA n’est pas une première, la publicité faite autour de cet exploit en est une. Lui faisant dire que cette attaque n’avait rien du simple piratage : « Pourquoi l’ont-ils fait ? Personne ne le sait. Mais je soupçonne qu’il s’agit plus de diplomatie que de renseignement, en rapport avec l’escalade autour du hack du DNC (Democratic National Committee) », qui a eu lieu le mois précédent.
Autrement dit, un piratage au gout de guerre froide entre la Russie et les États-Unis, qui attribuait la responsabilité du hack de la DNC à Moscou de manière à peine voilée.
« Ce leak est probablement un avertissement indiquant que quelqu’un peut prouver la responsabilité des États-Unis pour toute attaque provenant de ce serveur de logiciels malveillants », expliquait alors l’ancien analyste de la NSA. Un message suggérant à l’oncle Sam d’éviter toute mesure de rétorsion des États-Unis envers la Russie. Las, la riposte des États-Unis a bien eu lieu quelques mois plus tard.
Après une mise en scène d’enchère qui s’est révélée infructueuse, le groupe de hackers est passé à la vente directe, puis à leur publication pure et simple sur la toile. Autrement dit, noël avant l’heure pour les hackers.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Et donc il suffit d’être sous win7 par exemple et c’est une porte complétement ouverte ? ou il a une liste de trucs à éviter comme la peste pour pas se faire infecter? (en dehors de débrancher son pc du waib)
ho une news du monde, 2 semaines après sa parution 😮
Désolé Elodie, d’habitude je préfère tacler Mathieu pour ce genre d’articles en “retard” mais la tu as mérité ce tacle 😡
La news en retard c’est la dernière publication des outils de la NSA, en début de mois, pas celle de ses effets, 15 jours plus tard = récupération par des hackers et infections en série.
Mais, il n’y a pas de mal 🙂