The Shadow Brokers
The Shadow Brokers (littéralement « les courtiers de l'ombre ») est un groupe de hackers connu pour avoir dévoilé en 2016 des outils d'espionnages, entre autres, de l'Equation Group, une unité de hackers liée à la National Security Agency (NSA).
Chronologie
Le , The Shadow Brokers, inconnu jusqu'alors, met en libre téléchargement une série de programmes d’espionnage et de piratage informatique, qu’il prétend avoir dérobé à l'Equation Group, une unité de hacker d'élite qui agirait depuis au moins les années 2000 pour le compte de la NSA, l'agence de renseignement américaine chargée de la surveillance et l'espionnage sur Internet, entre autres. Le collectif publie ces données sur Tumblr[1], GitHub[2] et Pastebin[3] (trois réseaux sociaux et forums très populaires) et médiatise l'ensemble via son compte Twitter (@shadowbrokerss) avec une série de Tweets s'adressant à de grands journaux et chaines de télévision américains[4]. Dans le message accompagnant les cyberarmes, le groupe déclare qu'il s'agit seulement d'une partie des programmes qu'elle possède et que « les meilleures armes informatiques » sont mises aux enchères pour un million de Bitcoins, soit 568 millions de dollars[5].
Le , le compte GitHub de The Shadow Brokers est fermé[2]. Le jour suivant, c'est le compte Tumblr qui se voit supprimé[1]. La même chose arrive peu de temps après au compte Pastebin[3].
Le , la société de sécurité informatique russe Kaspersky Lab, qui a déjà travaillé sur l'Equation Group, annonce avoir comparé les fichiers fournis par The Shadow Brokers avec les programmes des hackers présumés de la NSA qu'elle possède et en conclut qu'ils « partagent des caractéristiques précises et rares », dont la falsification est « hautement improbable »[6].
Le , le site The Intercept, spécialisé dans la publication d’enquêtes sur la surveillance globale par les États-Unis et les révélations d'Edward Snowden, confirme l'authenticité des fichiers : des mentions des outils publiés par The Shadow Brokers figurent dans les documents que l'ancien employé de la NSA et lanceur d'alerte Edward Snowden avait dévoilés en 2013, et dont le site détient une copie[7].
Le 1er octobre, le compte Twitter de The Shadow Brokers, qui n'avait pas donné signe d'activité depuis le , se remet à tweeter avec un lien menant à un nouveau message publié sur les forums Reddit[8] et la plate-forme de blog Medium[9] dans lequel le collectif répond à des questions, notamment sur le fonctionnement des enchères de cyberarmes. Cependant, aucune allusion n'est faite à Harold T. Martin, un employé d'un sous-traitant de la NSA accusé d'avoir volé un nombre considérable de données, ni aux hypothèses qui en font la source de The Shadow Brokers.
Le , toujours par le biais de Twitter, le groupe annonce un nouveau message, publié sur Pastebin[10], Reddit[11] et Medium[12], dans lequel il informe que les enchères sont terminées mais que si le montant de 10 000 Bitcoins était atteint (soit 7 millions de dollars), il mettrait en libre téléchargement les cyberarmes. Le message est accompagné d'un dialogue parodique entre l'ancien président des États-Unis Bill Clinton et la secrétaire à la Justice et procureure générale américaine de l'administration Obama Loretta Lynch, nommé « Bill Clinton and Lorreta Lynch Arizona Airplane Conversation ». La conversation fait référence à la rencontre, imprévue selon les protagonistes, de l'époux de la candidate démocrate à la présidence des États-Unis, Hillary Clinton, et de la ministre de la Justice le à l'aéroport de Phoenix, en Arizona[13].
Le , The Shadow Brokers prévient par Twitter la publication, sur Medium[14] et Reddit[15], de nouvelles informations sur la NSA dans un message intitulé « Trick or Treat? » (formule utilisée pour obtenir des friandises lors d'Halloween signifiant « Des friandises ou un sort ? »). Après avoir fait un discours portant sur les élections présidentielles de 2016 aux États-Unis, le pouvoir d’achat, la guerre numérique et la lutte des classes, The Shadow Brokers a donné accès à une archive. La série de données publiées renferme plusieurs centaines de nom de domaines et adresses IP, localisés partout dans le monde, qui auraient été piratés par la NSA.
Le , The Shadow Brokers publie sous l'alias Boceffus Cleetus un article sur Médium intitulé « Est-ce-que The Shadow Brokers vend des exploits de la NSA sur ZeroNet ? »[16]. Cet alias, qui possède un compte Twitter (@cleetusbocefus)[17] et se réclame du fascisme, donne un lien menant à un site de la plateforme en ligne décentralisée ZeroNet et laisse entendre que les fuites de données sont liées à des querelles inter-agences entre la CIA et la NSA. Le site en question propose une liste de cyberarmes à vendre, avec la possibilité d'acheter le package entier pour 1 000 Bitcoins (780 000 dollars)[18]. Le site offre aux visiteurs de télécharger des fichiers liés à chaque service en vente, ces derniers étant signé avec la clé PGP correspondant à l’empreinte des Shadow Brokers[19].
Le , The Shadow Brokers répond à la demande d'interview que le site Motherboard lui avait envoyé depuis août par un court message :
« The Shadow Brokers n'ont pas été arrêtés. The Shadow Brokers ne sont pas des criminels irresponsables. The Shadow Brokers sont des opportunistes. The Shadow Brokers ont donné l’opportunité aux « parties responsables » de faire les choses correctement. Cela n’a pas été le cas. Ce ne sont pas des personnes responsables. The Shadow Brokers ont mérité une récompense pour avoir pris des risques, nous demandons donc de l’argent. Le risque n’est pas gratuit. Notre attitude est l'offuscation, pas la tromperie[trad 1]. »
Le , The Shadow Brokers annonce sur leur site ZeroNet l'arrêt de leur activité, expliquant qu'elle devient trop risquée et qu’elle n’est pas assez lucrative tout en précisant que son offre reste valable[21]. Selon les données de l'explorateur de blocs Bitcoin, Blockchain Info, le groupe de hackers n'a reçu qu’un peu plus de 10 Bitcoins, répartis dans 72 transactions[22]. Cependant, « avant de s'en aller » le groupe a mis en ligne une archive de 61 fichiers renfermant non pas des outils de hacking mais des implants. Selon l'analyse du chercheur en cybersécurité Matt Suiche, l'archive est ancienne et présente peu d'intérêt car déjà détectés par l'antivirus de Kaspersky Lab[23].
Le , les Shadow Brokers, se disant déçus de la politique du président des États-Unis récemment élu Donald Trump (notamment de la frappe américaine contre la Syrie à la suite du massacre de Khan Cheikhoun du 4 avril 2017), réapparaissent en publiant un billet de blog sur Medium, dans lequel ils clarifient notamment leur position vis-à-vis de la Russie, disant ne pas avoir de sympathie particulière pour le président Vladimir Poutine mais que le nationalisme du dirigeant russe leur apparaît comme un atout contre le socialisme et le mondialisme, qu'ils considèrent comme leurs ennemis[24]. Leur tribune s'achève sur un accès à une archive contenant, entre autres, une liste de 900 serveurs appartenant à des entreprises et des universités, que la NSA aurait piraté pour s'en servir de leurre lorsqu'ils lancent des cyberattaques, ainsi que des documents indiquant que le service de messagerie CaraMail a été détourné par l'agence américaine dès 2001[25]. Selon le chercheur en cybersécurité Matthew Hickey de la société My Hacker House, ces révélations attestent du haut niveau de compromission des serveurs Solaris par la NSA[26].
Le , le groupe de pirates dévoile une nouvelle série d'outils dérobés à la NSA. La première partie de l'archive renferme des outils dédiés à l'espionnage du réseau interbancaire SWIFT[27]. Cette révélation intervient quelques mois après le cyber-braquage de la banque centrale du Bangladesh via le réseau SWIFT, réalisé par le groupe de hackers nord-coréen Lazarus d'après les chercheurs en cybersécurité de Symantec[28]. La seconde partie de l'archive contient des exploits relatifs à Windows et Windows Server. Le même jour, Microsoft déclare avoir corrigé les failles utilisées par ces exploits, pour certains depuis plusieurs années et pour d'autres plus récemment, comme la faille EternalBlue, patchée un mois avant la révélation de l'archive[29].
Identité de The Shadow Brokers
L'origine, les motivations floues et le contexte particulier dans lequel The Shadow Brokers a fait ses révélations (piratage du Parti Démocrate lors de l'élection présidentielle et publications de WikiLeaks sur les services secrets) tendent à montrer que le groupe recèle un pouvoir de déstabilisation majeur, comme en attestent les crises liées aux cyberattaques NotPetya et WannaCry[30].
Le nom du collectif est une référence à un personnage de la série de jeux vidéo Mass Effect. Il s'agit, dans cet univers de science fiction, d'un être extraterrestre à la tête d’une vaste organisation qui négocie des informations, en vendant toujours au plus offrant[31]. Début 2017, l'identité du hacker ou des membres du groupe de hackers est toujours inconnue même si des hypothèses circulent. Ainsi, le lanceur d'alerte et ancien employé de la NSA Edward Snowden défend et explique dans une série de tweets l'hypothèse que la Russie serait derrière The Shadow Brokers[32].
Témoignant anonymement auprès du site Motherboard, d'anciens agents de la NSA ont déclaré que, selon eux, l'hypothèse la plus probable serait celle d'« un seul gars, un employé en interne » car ce serait bien plus simple pour un employé de voler ces données (à la manière de Snowden en 2013) que pour une personne extérieure de les obtenir, principalement parce que certains fichiers contenus dans la première publication de The Shadow Brokers « étaient accessibles uniquement depuis l'intérieur », parce que stockés sur une machine physiquement isolée du réseau (mesure de sécurité dite de l'air gap). Ils réfutent à « 99,9 % » l'idée que la Russie serait derrière cette fuite de données[33].
L'anglais approximatif à la grammaire souvent erronée qui caractérise les messages de The Shadow Brokers a suscité l'intérêt du directeur du programme de master en sciences de données à l'Illinois Institute of Technology, Shlomo Argamon, qui, d'après ses analyses linguistiques, a conclu que l'auteur de ces messages (à supposer qu'il n'y en ait qu'un seul) serait probablement un anglophone cherchant à se faire passer pour quelqu'un qui n’a pas l’anglais pour langue maternelle, logiquement pour essayer de brouiller les pistes en attirant l'attention des enquêteurs vers la Russie[34].
Le , le ministère américain de la justice annonce l’arrestation de Harold Thomas Martin III (en), soupçonné d’avoir volé des données classées « top secret » alors qu’il travaillait pour un sous-traitant de la NSA, Booz Allen Hamilton[35]. Plusieurs experts émettent l'hypothèse d'un lien entre Harold Martin et The Shadow Brokers[36].
Le , les procureurs chargés de l’affaire expliquent dans un document officiel que ce sont l’équivalent de 50 téraoctets de données et des milliers de pages de documents, dont certains marqués « Secret » ou « Top Secret », qui ont été saisis au domicile de Harold T. Martin[37].
Le , le groupe répond à la demande d'interview du site Motherboard par un court message démentant les accusations faisant de Hal Martin la source des hackers[20].
L'analyse des fichiers téléchargeables liés à chaque service en vente sur le site ZeroNet de The Shadow Brokers par les chercheurs en cybersécurité de la société Flashpoint les a menés à la conclusion que ces derniers provenaient très certainement d'un entrepôt de données interne à la NSA et que c'est probablement un employé ou un sous-traitant qui y a eu accès. De plus, ils réfutent l'hypothèse selon laquelle The Shadow Brokers aurait détourné un des serveurs de la NSA, arguant qu'il ne serait pas logique que l'agence américaine laisse son arsenal sur un appareil vulnérable[19].
Analyse des outils publiés
Un exploit est une vulnérabilité qui permet à l'attaquant de compromettre un système informatique, d'extraire des données, ou de déployer un implant/outil. Pour sa part, un implant désigne un logiciel malveillant qui est installé sur un dispositif compromis. Enfin, un outil représente un logiciel qui peut déployer plusieurs implants ainsi que des exploits.
Publication du 13 août
Les outils publiés par The Shadow Brokers renferment des ensembles d'implants, exploits et outils pour le piratage des pare-feu, notamment ceux des constructeurs Cisco Systems et Fortinet. Ces derniers ont rapidement mis à disposition des correctifs après avoir annoncé que les fichiers publiés contenaient des vulnérabilités Zero day, c'est-à-dire des failles encore jamais découvertes[38],[39]. Au total, les premiers fichiers mis en ligne par The Shadow Brokers, et dont les plus récents datent de 2013, renferment quinze codes d’exploitation[40].
L'outil SECONDDATE, qui figurait déjà dans les révélations d'Edward Snowden en 2013, est conçu pour intercepter les requêtes web puis les rediriger vers un serveur web de la NSA, lequel va en retour infecter ces ordinateurs. Cet outil aurait permis d'infecter des millions d’ordinateurs de par le monde, d'après le The Intercept[41]. Se basant sur les documents encore non publiés fournis par Edward Snowden, The Intercept a pu confirmer l'authenticité des fichiers de The Shadow Brokers. Le quotidien évoque une chaîne de caractères servant d'identifiant pour SECONDDATE émanant d’un manuel d’implantation de logiciel malveillant[7].
L'exploit EGREGIOUSBLUNDER se sert d'une vulnérabilité de type « exécution de code à distance » dans les pare-feu Fortigate de Fortinet, via un dépassement de tampon dans les cookies HTTP[42].
L’exploit ESCALATEPLOWMAN est un script du langage de programmation Python, conçu pour faire des injections de commandes sur les systèmes vendus par RapidStream, une société rachetée par la compagnie de cybersécurité WatchGuard en 2002. Cet exploit permet à un attaquant de récupérer et d’exécuter un fichier depuis Internet. L’éditeur WatchGuard a précisé que seuls les équipements RapidStream, de leurs spécificités, sont vulnérables à cette attaque[42].
Publication du 31 octobre
Le premier des trois fichiers publiés ne comporte qu'un message portant sur la prétendue corruption des élections américaines de 2016. Le second, « trickortreat.tar.xz.gpg », est un fichier chiffré GNU Privacy Guard ouvrable avec la clé « payus » fournie par The Shadow Brokers. Ce dernier se compose de deux dossiers nommés PITCHIMPAIR et INTONATION[43].
Les sous-dossiers, analysés par deux spécialistes en cybersécurité, Jennifer Arcuri et Matthew Hickey[44], sont chacun identifiés par un nom de domaine et une adresse IP pour un total de 352 adresses IP distinctes 306 noms de domaine qui, selon The Shadow Brokers, auraient été piratés par l'Équation Group pour ensuite servir à lancer des cyberattaques vers les cibles réelles de la NSA[45].
D'après les dates des fichiers, les serveurs ont été ciblés entre le et le . Les attaques ont eu lieu dans 49 pays dont les plus ciblés se trouvent dans l'Asie-Pacifique. Dans les adresses ciblées figurent neuf domaines .gov et trente-deux domaines .edu[45],[46].
En France, plusieurs domaines figurant sur la liste appartiennent à l’opérateur Colt[46]. Trois autres sont liés au réseau de l'Université de Genève. Contactée par le journal en ligne Suisse Watson, la société Switch, qui gère le réseau entre les hautes-écoles et les universités suisses (dont celle de Genève), a confirmé l'information. Elle précise avoir constaté que trois serveurs de l'Université de Genève ont été touchés entre 2001 et 2003 mais que deux ne sont plus actifs depuis 2009 et que le troisième n'est pas accessible depuis l'extérieur[47].
La publication renferme également d'autres données, dont des configurations d’une boîte à outils qui a servi à pirater des serveurs exécutant des systèmes d’exploitation Unix. Plusieurs de ces serveurs compromis fonctionnaient sous Linux, FreeBSD et Solaris, un système d'exploitation populaire dans les années 2000[46].
Impact des publications
Pour la première fois depuis les révélations d'Edward Snowden en 2013, des exemples concrets de l'étendue de la surveillance globale opérée par la NSA sont dévoilés, donnant un aperçu de ce à quoi ressemblent les systèmes complexes décrits dans les documents de Snowden lorsqu’ils sont déployés dans le monde réel[7].
La mise en ligne publique de l'exploit EternalBlue par The Shadow Brokers est à l'origine de deux cyberattaques importantes, dont le plus grand piratage à rançon de l'histoire d'Internet[48], WannaCry, et NotPetya.
Notes et références
Notes de traduction
- (en) « TheShadowBrokers no arrested. TheShadowBrokers is not being irresponsible criminals. TheShadowBrokers is opportunists. TheShadowBrokers is giving 'responsible parties' opportunity to making things right. They choosing no. Not very responsible parties! TheShadowBrokers is deserving reward for taking risks so ask for money. Risk is not being free. Behavior is obfuscation no deception[20]. »
Références
- (en) The Shadow Brokers, « Equation Group Cyber Weapons Auction », sur tumblr.com, (consulté le )
- (en) The Shadow Brokers, « Equation Group Cyber Weapons Auction », sur github.com, (consulté le )
- (en) The Shadow Brokers, « Equation Group - Cyber Weapons Auction », sur pastebin.com, (consulté le )
- (@theshadowbrokerss) - Twitter
- Damien Bancal, « Shadow Brokers : Les hackers de la NSA piratés ? », sur zataz.com, (consulté le )
- (en) GReaAT, « The Equation giveaway », sur securelist.com, (consulté le )
- (en) Sam Biddle, « THE NSA LEAK IS REAL, SNOWDEN DOCUMENTS CONFIRM », sur theintercept.com, (consulté le )
- (en) The Shadow Brokers, « TheShadowBrokers Message #3 », sur reddit.com, (consulté le )
- (en) The Shadow Brokers, « TheShadowBrokers Message #3 », sur medium.com, (consulté le )
- (en) The Shadow Brokers, « TheShadowBrokers Message #4 Bill Clinton/Lynch Conversation », sur pastebin.com, (consulté le )
- (en) The Shadow Brokers, « TheShadowBrokers Message #4 Bill Clinton/Lynch Conversation », sur reddit.com, (consulté le )
- (en) The Shadow Brokers, « TheShadowBrokers Message #4 Bill Clinton/Lynch Conversation », sur medium.com, (consulté le )
- « Présidentielle américaine, J-129 : la faute de Bill ? », sur Le Monde, (consulté le )
- (en) The Shadow Brokers, « Message#5 — Trick or Treat? », sur medium.com, (consulté le )
- (en) The Shadow Brokers, « Message #5 — Trick or treat? », sur reddit.com, (consulté le )
- (en) Boceffus Cleetus, « Are the Shadow Brokers selling NSA tools on ZeroNet? », sur medium.com, (consulté le )
- (@cleetusbocefus) - Twitter
- (en) The Shadow Brokers, « THESHADOWBROKERS ON ZERONET » [archive du ], sur theshadowbrokers.bit (consulté le )
- (en) Ronnie Tokazowski & Vitali Kremez, « Insider Threats: “The Shadow Brokers” Likely Did Not Hack the NSA », sur flashpoint.com, (consulté le ).
- (en) Joseph Cox, « A Brief Interview With The Shadow Brokers, The Hackers Selling NSA Exploits », sur motherboard.vice.com, (consulté le ).
- (en) The Shadow Brokers, « THESHADOWBROKERS CLOSED, GOING DARK » [archive du ], sur theshadowbrokers.bit (consulté le )
- (en) « Adresse Bitcoin de The Shadow Brokers », sur blockchain.info (consulté le )
- (en) Matt Scuiche, « Summary of the latest ShadowBrokers release (+IOCs) », sur medium.com, (consulté le )
- (en) The Shadow Brokers, « Don't Forget Your Base », sur medium.com, (consulté le )
- (en) The Shadow Brokers, « dump.csv », sur github.com, (consulté le )
- Reynald Fléchaux, « Shadow Brokers : des outils de hack pour Solaris dans la nature », sur sillicon.fr, (consulté le )
- Reynald Fléchaux, « Shadow Brokers : et maintenant des exploits visant Swift ! », sur sillicon.fr, (consulté le )
- (en) Candid Wueest, « Internet Security Threat Report : Financial Threats Review 2017 » [PDF], sur symantec.com, (consulté le )
- (en) Phillip Misner, « Protecting customers and evaluating risk », sur blogs.technet.microsoft.com, (consulté le )
- Reynald Fléchaux, « Les Shadow Brokers, un an après : un choc plus important que Snowden », sur sillicon.fr, (consulté le )
- (en) « Shadow Broker », sur masseffect.wikia.com (consulté le )
- (en) Edward Snowden(@snowden), « Circumstantial evidence and conventional wisdom indicates Russian responsibility », sur twitter.com, (consulté le )
- (en) Lorenzo Franceschi-Bicchierai & Joseph Cox, « Former NSA Staffers: Rogue Insider Could Be Behind NSA Data Dump », sur motherboard.vice.com, (consulté le )
- Michael Guilloux, « Shadow Brokers : un autre « Edward Snowden » serait-il à l'origine de la fuite ? », sur developpez.com, (consulté le )
- (en) Tami Abdollah & Eric Tucker, « NSA contractor arrest highlights challenge of insider threat » (version du 7 octobre 2016 sur l'Internet Archive), sur washingtonpost.com,
- (en) Julian Sanchez (@normative), « Arrest “in recent weeks,” stolen code was “dated” and used for network hacking », sur twitter.com, (consulté le )
- (en) United States District Court for the District of Maryland, « United States of America v. Harold T. Martin, III », sur scribd.com, (consulté le )
- (en) « Cookie Parser Buffer Overflow Vulnerability », sur fortiguard.com, (consulté le )
- (en) Omar Santos, « The Shadow Brokers EPICBANANA and EXTRABACON Exploits », sur blogs.cisco.com, (consulté le ).
- Reynald Fléchaux, « Cisco et Fortinet valident le sérieux des Shadow Brokers, hackers de la NSA », sur silicon.fr, (consulté le ).
- (en) Ryan Gallagher & Glenn Greenwald, « HOW THE NSA PLANS TO INFECT ‘MILLIONS’ OF COMPUTERS WITH MALWARE », sur theintercept.com, (consulté le ).
- Jean Marsault, « 7 exploits pour pare-feu publiés par les Shadow Brokers, le 5ème va vous impressionner », sur securityinsider.com, (consulté le ).
- The Shadow Brokers, « TrickOrTreat », sur mega.nz (consulté le ).
- (en) « Team », sur myhackerhouse.com (consulté le ).
- (en) « Hacker Halloween: Inside a Shadow Brokers leak », sur myhackerhouse.com, (consulté le ).
- Stéphane Le Calme, « Shadow Brokers publie une liste de serveurs qui ont été utilisés par la NSA », sur developpez.com, (consulté le ).
- (de) « NSA hackte Uni Genf und missbrauchte drei Server für Cyberangriffe », sur watson.ch, (consulté le ).
- « Cyberattaque WannaCry : ce qu’il faut savoir sur le ransomware qui secoue le monde », Futura, (lire en ligne, consulté le )
Articles connexes
- Portail de la sécurité informatique
- Portail de la sécurité de l’information
- Portail du renseignement