Un groupe de pirates, nommé Shadow Brockers, a mis à disposition le 15 août un lot de quelques 300 outils censés avoir été écrits par Equation Group, un groupe de pirates lié à des États. La fuite semble authentique, déclenchant de nombreuses interrogations sur l’identité et les motivations des attaquants.
Equation est le nom donné à un groupe de pirates possédant de sérieuses connaissances techniques et d'importants moyens. Kaspersky s’était penché sur ses activités en février dernier, montrant qu'il avait réussi à masquer son existence pendant 14 ans. L’éditeur avait trouvé alors des liens entre ses méthodes et des éléments retrouvés dans les plateformes d’espionnage Stuxnet et Flame. Ce qui laissait penser qu’Equation était soutenu par un ou plusieurs états, les États-Unis et Israël ayant été impliqués dans la conception des deux malwares.
Étonnement, scepticisme et signes troublants
Or, un autre groupe de pirates, se faisant appeler les Shadow Brokers, affirme depuis peu avoir obtenu un lot de 300 outils environ provenant d’un piratage d’Equation Group. Une affirmation accompagnée d'une ouverture de dépôt GitHub, depuis censurée, mais dont on peut encore trouver une version en cache. Le message, lui, est disponible sur Pastebin et se veut revendicatif : « Nous avons trouvé des cyberarmes conçues par les créateurs de Stuxnet, Duqu, Flame. Kasperksy les appelle groupe Equation. Nous avons suivi leur trafic. Nous avons trouvé leurs sources. Nous les avons piratés ».
La publication des Shadow Brokers a immédiatement attiré l'attention, et ce d’autant plus que les pirates souhaitaient vendre les outils au plus offrant. Des captures d'écrans, toujours disponibles sur Imgur, montraient des dossiers censés contenir différents outils, malwares, kits d'exploitations et autres. Le premier dossier était « offert », le reste étant livré aux enchères. Une adresse Bitcoin était donnée pour envoyer les sommes. Si l'enchère de l'un était dépassée par un autre, l'argent était perdu. Les pirates indiquaient cependant que si l'ensemble des enchères dépassait le million de bitcoins (plus d'un demi-milliard d'euros), d'autres fichiers seraient distribués, publiquement et gratuitement.
Les déclarations comme les demandes invitaient à la plus grande circonspection. Pourtant, en s’y penchant de plus près, plusieurs chercheurs ont remarqué des signes troublants. L’un d’entre eux, The Grugq, a indiqué à Motherboard quelques heures après la publication des Shadow Brockers que s’il s’agissait d’un canular, il était particulièrement élaboré.
Les outils eux-mêmes se composent de plusieurs catégories de fichiers utiles, mais sont constitués en bonne partie de scripts batch et Python. On y trouvait également des références à des failles 0-day dans des produits Cisco, Fortinet et Juniper. Un sujet particulièrement sensible, tant les routeurs de ces constructeurs sont répandus dans le monde, le public ayant déjà été alerté des dangers sur les équipements réseaux par la découverte de portes dérobées dans des produits Juniper, supprimées depuis (de même que tout code lié à la NSA).
Les outils semblent bien être ce qu'ils sont
Kaspersky, d’abord sceptique, s’est penché sur le contenu de l’archive qui était alors encore en ligne. Ils y ont trouvé finalement des liens considérés comme forts avec Equation. En particulier, une implémentation spécifique des algorithmes de chiffrement RC5 et RC6, que l’éditeur décrit comme « hautement spécifiques ». Plus tôt dans l’année, Kaspersky avait souligné d’étranges ressemblances entre les méthodes utilisées par Equation et celles de la NSA, la société estimant que les deux étaient liés. Les éléments trouvés constituent désormais un faisceau pointant vers un ensemble d’outils créés pour le gouvernement américain.
Pour l’éditeur russe, l’archive (qui pèse près de 300 Mo), est le signe d’une campagne menée par des personnes particulièrement motivées, peut-être situées en Russie, et souhaitant avant tout jeter à bas le voile de mystère qui enveloppe Equation Group. Edward Snowden, dans une série de tweets, estime que la NSA a été directement visée et que ce piratage est à connecter à celui du Democratic National Committee américain en juin dernier (qui serait également l'oeuvre d'un groupe russe), même s’il avoue ne pas connaître les motivations précises.
7) Why did they do it? No one knows, but I suspect this is more diplomacy than intelligence, related to the escalation around the DNC hack.
— Edward Snowden (@Snowden) 16 août 2016
Cisco et Fortinet confirment des failles 0-day
Mais si les questions autour de l’identité et des motivations sont importantes, elles ne masquent pas pour autant des réalités plus immédiates. L’archive des Shadow Brokers contenait des renseignements sur des failles 0-day, donc inconnues et encore moins corrigées. C’est notamment le cas de Cisco, qui a publié un bulletin de sécurité confirmant que la faille était réelle et serait suivie très prochainement d’un correctif.
Mis en ligne hier soir, le bulletin de Cisco précise que la faille concerne toute les versions du pare-feu ASA (Adaptive Security Appliance). Elle est visiblement présente depuis des années et peut être exploitée à distance pour prendre le contrôle de l’équipement, mais en passant obligatoirement par un ordinateur ayant déjà reçu l’autorisation de s’y connecter. Jugée critique, la brèche est d’autant plus dangereuse que l’archive contient une méthode pour l'exploiter.
Les outils semblent dater de 2013 et remettent en lumière un vaste trafic de failles : si l’archive vient bien d’Equation et que ce dernier travaille main dans la main avec la NSA, alors l’agence américaine de renseignement connait l’existence de la vulnérabilité depuis au moins trois ans. Cette possibilité rappelle immédiatement le cas Juniper, dont les produits comportaient un lot de 13 failles connues de l’agence depuis 2011.
D'autres conséquences à prévoir
Plusieurs autres constructeurs sont visés par les failles 0-day, dont la liste est désormais connue. Fortinet a ainsi publié de son côté un autre bulletin de sécurité, dans lequel il avertit que toutes les versions de son FOS sorties avant août 2012 sont touchées par une faille dans le parseur de cookies. Une enquête est en cours et il est recommandé aux concernés de mettre à jour le firmware des produits FortiGate.
D’autres bulletins de ce type pourraient être publiés très prochainement, Juniper étant lui aussi cité pour ses pare-feux NetScreen. Il y a bien sûr une possibilité pour que les failles fassent partie du lot déjà corrigé fin 2015. L’âge des outils fait en effet débat. Si les plus récents datent de 2013, les Shadow Brokers n’ont peut-être finalement pas piraté directement Equation, mais plutôt un serveur C&C (Command and Control), un relai pour la transmission des ordres et données entre les pirates et les malwares.
D’autres analyses sont en cours, notamment chez Wikileaks qui promet d’ailleurs d’en fournir une « copie immaculée » des fameux outils, sans toutefois préciser quand. Il faut en tout cas prévoir des révélations supplémentaires dans les jours et semaines qui viennent.
