Le récent vol des outils de piratage de la NSA serait dû à une erreur humaine. L’agence était a priori au courant quand ils ont été exposés au public, mais n’aurait pas cru bon d’avertir les entreprises dont les failles étaient révélées.
Une erreur humaine. C’est ce que qu’auraient indiqué des responsables de la NSA au FBI, chargé de l'enquête. Reuters, qui a publié l'information, cite quatre personnes proches de l’investigation. Un employé de la NSA aurait en fait « oublié » ces précieux outils sur un serveur distant il y a trois ans, découvert plus tard par les pirates russes se faisant appeler les Shadow Brokers.
Toujours selon ces sources, celui-ci aurait très rapidement avoué son erreur quand les actions des Shadow Brokers ont commencé à être connues. Cependant, le déchainement de la presse n’a semble-t-il pas provoqué de réaction de prévention à la NSA, qui n’a pas cherché à avertir les différentes entreprises concernées par des produits où des failles avaient été révélées.
Liens troubles
Il faut rappeler en effet que dans l’archive récupérée par les pirates russes se trouvaient plusieurs types de données. Il était question de documentation, de failles de sécurité ainsi que d'outils (en tout 300) pour exploiter ces dernières. Parmi les vulnérabilités, plusieurs ont été rapidement confirmées par des constructeurs, notamment Cisco, Fortinet et Juniper. Tous trois ont communiqué sur ces brèches pour indiquer qu’elles étaient réelles, et des correctifs ont été diffusés dans les jours ou semaines qui ont suivi.
Ces outils étaient liés de près à Equation Group, des pirates restés indétectés pendant au moins 14 années. Les éditeurs Kaspersky et Symantec en particulier s’étaient penchés sur ses activités, le premier mettant en évidence une paternité avérée avec quelques-uns des malwares les plus avancés repérés, dont Duqu, Stuxnet et Flame. Or, le même éditeur avait affirmé que les deux premiers résultaient d’une coopération entre les États-Unis et Israël. Ce qui a rapidement fait dire à la presse que les outils dérobés appartenaient en fait à la NSA.
Simple oubli ou action délibérée ?
Si l’on en croit les sources de Reuters, l’employé qui avait laissé les outils sur le serveur a quitté la NSA depuis un moment, pour d’autres raisons. Il pourrait s’agir d’un oubli « malencontreux », mais l’accès à un serveur distant permet de savoir maintenant que la NSA elle-même n’a pas été attaquée, ce qui était l’une des pistes envisagées (tout comme l’action d’un nouveau lanceur d’alertes). D’après Reuters, la piste d’un acte délibéré n’a pour autant pas encore été écartée.
La piste privilégiée serait en fait une attaque soutenue par la Russie. Selon l’une des sources de nos confrères, elle est préférée à la thèse du « simple » groupe criminel car la récupération des outils a été médiatisée au lieu de donner lieu directement à une vente secrète. L’objectif n’aurait donc jamais été véritablement d’obtenir une forte somme, mais de créer de multiples ondes de choc. En outre, si les outils étaient stockés depuis trois ans sur un serveur distant, ils ont très bien pu être exploités pendant tout ce temps.
La gestion des failles de sécurité au coeur du débat
L’action et les réactions participent cependant à un débat plus général. Il renvoie directement à la place qu’occupent les failles de sécurité dans les questions de sécurité nationale, dans les enquêtes ou dans l’obtention des renseignements. La NSA ne fait pas mystère que chaque faille trouvée fait l’objectif d’un examen. Dans 91 % des cas, ses détails en sont communiqués à l’éditeur concerné. Pour le reste, elle est libre de ne pas la révéler pour la réutiliser plus tard.
Or, la problématique centrale n’a évidemment pas bougé d’un iota. Toute faille non révélée est un danger potentiel pour l’ensemble des utilisateurs. Dans le cas de constructeurs comme Cisco et Fortinet, les brèches ont très bien pu être trouvées et exploitées par d’autres personnes. Le principe est le même qu’une porte dérobée quand son existence a été révélée. Le silence de la NSA peut avoir des conséquences lourdes lorsque les vulnérabilités touchent des produits aussi centraux que les routeurs. Il avait d’ailleurs été prouvé que grâce à deux failles, Equation Group pouvait facilement extraire les clés VPN des anciens pare-feu PIX de Cisco.
