Après le piratage d’Equation par Shadow Brockers, des failles critiques chez Cisco et Fortinet

Après le piratage d’Equation par Shadow Brockers, des failles critiques chez Cisco et Fortinet

La guerre de l'ombre

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

18/08/2016 7 minutes
30

Après le piratage d’Equation par Shadow Brockers, des failles critiques chez Cisco et Fortinet

Un groupe de pirates, nommé Shadow Brockers, a mis à disposition le 15 août un lot de quelques 300 outils censés avoir été écrits par Equation Group, un groupe de pirates lié à des États. La fuite semble authentique, déclenchant de nombreuses interrogations sur l’identité et les motivations des attaquants.

Equation est le nom donné à un groupe de pirates possédant de sérieuses connaissances techniques et d'importants moyens. Kaspersky s’était penché sur ses activités en février dernier, montrant qu'il avait réussi à masquer son existence pendant 14 ans. L’éditeur avait trouvé alors des liens entre ses méthodes et des éléments retrouvés dans les plateformes d’espionnage Stuxnet et Flame. Ce qui laissait penser qu’Equation était soutenu par un ou plusieurs états, les États-Unis et Israël ayant été impliqués dans la conception des deux malwares.

Étonnement, scepticisme et signes troublants

Or, un autre groupe de pirates, se faisant appeler les Shadow Brokers, affirme depuis peu avoir obtenu un lot de 300 outils environ provenant d’un piratage d’Equation Group. Une affirmation accompagnée d'une ouverture de dépôt GitHub, depuis censurée, mais dont on peut encore trouver une version en cache. Le message, lui, est disponible sur Pastebin et se veut revendicatif : « Nous avons trouvé des cyberarmes conçues par les créateurs de Stuxnet, Duqu, Flame. Kasperksy les appelle groupe Equation. Nous avons suivi leur trafic. Nous avons trouvé leurs sources. Nous les avons piratés ».

La publication des Shadow Brokers a immédiatement attiré l'attention, et ce d’autant plus que les pirates souhaitaient vendre les outils au plus offrant. Des captures d'écrans, toujours disponibles sur Imgur, montraient des dossiers censés contenir différents outils, malwares, kits d'exploitations et autres. Le premier dossier était « offert  », le reste étant livré aux enchères. Une adresse Bitcoin était donnée pour envoyer les sommes. Si l'enchère de l'un était dépassée par un autre, l'argent était perdu. Les pirates indiquaient cependant que si l'ensemble des enchères dépassait le million de bitcoins (plus d'un demi-milliard d'euros), d'autres fichiers seraient distribués, publiquement et gratuitement.

equation shadow brokers

Les déclarations comme les demandes invitaient à la plus grande circonspection. Pourtant, en s’y penchant de plus près, plusieurs chercheurs ont remarqué des signes troublants. L’un d’entre eux, The Grugq, a indiqué à Motherboard quelques heures après la publication des Shadow Brockers que s’il s’agissait d’un canular, il était particulièrement élaboré.

Les outils eux-mêmes se composent de plusieurs catégories de fichiers utiles, mais sont constitués en bonne partie de scripts batch et Python. On y trouvait également des références à des failles 0-day dans des produits Cisco, Fortinet et Juniper. Un sujet particulièrement sensible, tant les routeurs de ces constructeurs sont répandus dans le monde, le public ayant déjà été alerté des dangers sur les équipements réseaux par la découverte de portes dérobées dans des produits Juniper, supprimées depuis (de même que tout code lié à la NSA).

Les outils semblent bien être ce qu'ils sont

Kaspersky, d’abord sceptique, s’est penché sur le contenu de l’archive qui était alors encore en ligne. Ils y ont trouvé finalement des liens considérés comme forts avec Equation. En particulier, une implémentation spécifique des algorithmes de chiffrement RC5 et RC6, que l’éditeur décrit comme « hautement spécifiques ». Plus tôt dans l’année, Kaspersky avait souligné d’étranges ressemblances entre les méthodes utilisées par Equation et celles de la NSA, la société estimant que les deux étaient liés. Les éléments trouvés constituent désormais un faisceau pointant vers un ensemble d’outils créés pour le gouvernement américain.

Pour l’éditeur russe, l’archive (qui pèse près de 300 Mo), est le signe d’une campagne menée par des personnes particulièrement motivées, peut-être situées en Russie, et souhaitant avant tout jeter à bas le voile de mystère qui enveloppe Equation Group. Edward Snowden, dans une série de tweets, estime que la NSA a été directement visée et que ce piratage est à connecter à celui du Democratic National Committee américain en juin dernier (qui serait également l'oeuvre d'un groupe russe), même s’il avoue ne pas connaître les motivations précises.

Cisco et Fortinet confirment des failles 0-day

Mais si les questions autour de l’identité et des motivations sont importantes, elles ne masquent pas pour autant des réalités plus immédiates. L’archive des Shadow Brokers contenait des renseignements sur des failles 0-day, donc inconnues et encore moins corrigées. C’est notamment le cas de Cisco, qui a publié un bulletin de sécurité confirmant que la faille était réelle et serait suivie très prochainement d’un correctif.

Mis en ligne hier soir, le bulletin de Cisco précise que la faille concerne toute les versions du pare-feu ASA (Adaptive Security Appliance). Elle est visiblement présente depuis des années et peut être exploitée à distance pour prendre le contrôle de l’équipement, mais en passant obligatoirement par un ordinateur ayant déjà reçu l’autorisation de s’y connecter. Jugée critique, la brèche est d’autant plus dangereuse que l’archive contient une méthode pour l'exploiter.

Les outils semblent dater de 2013 et remettent en lumière un vaste trafic de failles : si l’archive vient bien d’Equation et que ce dernier travaille main dans la main avec la NSA, alors l’agence américaine de renseignement connait l’existence de la vulnérabilité depuis au moins trois ans. Cette possibilité rappelle immédiatement le cas Juniper, dont les produits comportaient un lot de 13 failles connues de l’agence depuis 2011.

D'autres conséquences à prévoir

Plusieurs autres constructeurs sont visés par les failles 0-day, dont la liste est désormais connue. Fortinet a ainsi publié de son côté un autre bulletin de sécurité, dans lequel il avertit que toutes les versions de son FOS sorties avant août 2012 sont touchées par une faille dans le parseur de cookies. Une enquête est en cours et il est recommandé aux concernés de mettre à jour le firmware des produits FortiGate.

D’autres bulletins de ce type pourraient être publiés très prochainement, Juniper étant lui aussi cité pour ses pare-feux NetScreen. Il y a bien sûr une possibilité pour que les failles fassent partie du lot déjà corrigé fin 2015. L’âge des outils fait en effet débat. Si les plus récents datent de 2013, les Shadow Brokers n’ont peut-être finalement pas piraté directement Equation, mais plutôt un serveur C&C (Command and Control), un relai pour la transmission des ordres et données entre les pirates et les malwares.

D’autres analyses sont en cours, notamment chez Wikileaks qui promet d’ailleurs d’en fournir une « copie immaculée » des fameux outils, sans toutefois préciser quand. Il faut en tout cas prévoir des révélations supplémentaires dans les jours et semaines qui viennent.

30

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Étonnement, scepticisme et signes troublants

Les outils semblent bien être ce qu'ils sont

Cisco et Fortinet confirment des failles 0-day

D'autres conséquences à prévoir

Commentaires (30)


Et ben heureusement que ceux qui viennent de me signer mon bon de commande de plus de 30k ne lisent pas ces news, je serai interminablement obligé de justifier l’achat de ces produits chez Forti !


et la NSA récemment: “non non, on utilise très peu de 0days, genre cette année on a du en utiliser 2”.

lowl.



tout le délire d’une agence de sécu qui doit faire les deux jobs d’attaquant et de défenseur: comment défendre correctement quand on a besoin de failles pour attaquer?

du coup pour les 3 petits exemples, on colmate pas les failles pour pouvoir les exploiter, laissant la porte ouverte au premier venu.


Wow…. Les prochaines générations de malware risquent d’être “intéressantes” 


Ah ben je l’attendais cette news <img data-src=" />

Merci la rédac :)


je peux vous dire que ça va chauffer aux states.

la NSA est assise sur des 0day chez Cisco, fortinet et Juniper depuis juste 3 ans, ça fait donc mini 3 ans que des boites ont des trous de sécu béants, certainement exploités par du monde, et l’administration censée les protéger a gardé les failles au chaud pour ses petits besoins. <img data-src=" />



peut-être que la décision récente de créer un commandement cyber à côté de la NSA n’est pas totalement étrangère à cette problématique… <img data-src=" />


Je connais des RSSI en vacances qui vont bien s’amuser lundi matin<img data-src=" />


&nbsp; Toujours rien pour Stormshield &lt;3


Haha ! j’en ris même si je sais que je ne devrais pas.

Je ne sais pas qui sont les membres de l’Equation Group, mais là, ils sont plus grillés que Jeanne d’Arc.

Pour l’instant de ce que je comprends de la news, aucune preuve sur l’identité de leurs employeurs (même si bon, de forts soupçons sur la NSA/les USA est ce qui est le plus crédible).








tazvld a écrit :



Pour l’instant de ce que je comprends de la news, aucune preuve sur l’identité de leurs employeurs (même si bon, de forts soupçons sur la NSA/les USA est ce qui est le plus crédible).





Presque trop d’ailleurs&nbsp;<img data-src=" />



Quand on rapproche cela de la news sur Cazeneuve qui veut nous mettre des mouchards dans le fion…&nbsp;Tu te demande…



Enfin bon si c’est bien géré on passe la semaine prochaine sur cette news a elle toute seule. Même le JO pourrait faire moins d’audience. A voir.



&nbsp;

&nbsp;


Cisco…encore. Niveau sécurité, il y a du boulot. Bonjour l’image de marque.<img data-src=" />

Plusieurs milliers de licenciements supplémentaires à venir pour compenser les pertes.


On notera l’absence d’exploits pour le parefeu OpenOffice, de loin le plus résistant. <img data-src=" />








TexMex a écrit :



Enfin bon si c’est bien géré on passe la semaine prochaine sur cette news a elle toute seule. Même le JO pourrait faire moins d’audience. A voir.





Du côté des sites spécialisés, oui.

Du côté des JT, ils auront plus de mal à détailler <img data-src=" />









hellmut a écrit :



l’administration censée les protéger a gardé les failles au chaud pour ses petits besoins. <img data-src=" />







je te remercie de ton commentaire, tout à fait pertinent : il y a une simple nuance de passé simple dans ton propos que nul doute pourrait placer, sans esprit complotiste, au futur simple avec une vérité générale (bawi, dans cinquante ans la NSA espionnera autant que le soleil brillera, faut bien qu’ils continuent à exercer leur activité sur le numérique au fil des décennies..)



Défaut de sécurisation, ça coûte cher <img data-src=" />


Ca, c’est le genre d’infos qui fait plaisir à voir <img data-src=" />


J’aime beaucoup le nom de certains outils de l’archive : EPICBANANA, EXTRABACON, GOTHAMKNIGHT…


Plaisir ? Sérieusement ?



Il y a l’équivalent numérique de plusieurs bombes atomiques dans la nature, absolument tous les systèmes mondiaux sont vulnérable (pour le moment) au (presque) premier venu et lui ça lui fait plaisir….


Pour ceux que ça interresse d’autres lots sont en vente ! On parle aussi de fuite en interne !

Les “filliales” de la NSA devraient faire gaffe quand ils mettent à la porte leurs employés !&nbsp;

Cela peut avoir plus de conséquences que dans d’autres boîtes ;-) .

Ils devraient vraiment privilégier un accord à l’amiable :-) &nbsp;


Simple hypothèse : et si c’était voulu ? Genre, on laisse griller, ou on grille nous-même des outils désormais obsolètes parce que repérés et s’attaquant à des failles sur le point d’être corrigées, pour mieux dissimuler d’autres outils plus d’actualité…



A voir, même si en la matière, il convient de rester prudent.


En truc me chiffonne,&nbsp; pourquoi tu le monde semble pense que seul la NSA a ce genre de pratique ?

Je pense que tous les pays avec un peu de moyen ont surement des outils équivalents.


In formation, déinformation, mélange habile du vrai et du faux, on ne peux rien croire dans ce monde.


Ce qui me chiffonne, c’est pourquoi certains essayent de dedouaner les americains, en disant que de toutes facons tout le monde fait la meme chose, et que c’est juste une question d’echelle ou de moyens.



La difference, c’est peut-etre justement l’echelle hallucinante de l’espionage americain, tu ne trouves pas?

Et que c’est devenu une telle industrie que ca leur devient impossible d’eviter une fuite?

Et le fait que la NSA travaille directement dans les comites qui font les protocoles et les normes (NIST, etc), et avec les industriels qui vendent dans le monde entier (Cisco, Juniper, Dell, RSA …).

Par exemple, Snowden a travaille chez Dell au Japon …



En Russie et en Chine, ils ont certainement un appareil d’État qui leur permet d’imposer le silence a leurs troupes. Mais ils n’ont pas autant de contrôle sur l’infrastructure mondiale d’Internet , ni des bases d’écoute a travers le monde (a ma connaissance).



La différence de moyen, c’est peut-être aussi ce qui fait que la France ne se lance pas dans la construction d’une base nucléaire au Groenland ?

Et pourtant quelqu’un pourrait toujours dire “Et vous pensez vraiment que les USA sont les seuls a faire ce genre de choses?”

http://www.dailymail.co.uk/sciencetech/article-3724431/Fears-global-warming-rele…








nigol a écrit :



Par exemple, Snowden a travaille chez Dell au Japon …





Tu as raison d’ajouter les trois petits points à la fin de cette phrase, c’est dramatique ! Un informaticien américain qui a bossé dans une société informatique américaine ! Le mec accumule de l’expérience façon djihadisme numérique et BAM !! Il devient consultant (genre d’extrémiste du 21eme siècle) et une menace pour la société et la vie privé.



<img data-src=" />



Désolé c’était facile…



Merci Vincent ;-)

Ce système de surveillance qui se fait pirater , à cette échelle ( elle est bonne , celle-là ) , cela lui pendait au nez ! Car lorsque cet outil de surveillance sert à l’espionnage de toutes sortes , ils devaient bien s’attendre au retour de bâton ! Ce n’est pas toujours les mêmes qui “gagnent” ! On appelle ça , un retour de flamme ! Je vous dit pas l’extincteur qu’il faudra !&nbsp;








terneuv a écrit :



On appelle ça , un retour de flamme Flame ! Je vous dit pas l’extincteur qu’il faudra !





<img data-src=" />



Il faut arrêter de jouer les vierges effarouchées, le boulot de la NSA c’est d’espionner.

Donc potentiellement tout le matos américains possèdent des backdoors spécialement conçues par la NSA.

Et le matos chinois des backdoors pour les espions chinois …

&nbsp;etc …

C’est un peu la base du système.

&nbsp;&nbsp;