Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Outils volés de la NSA : une erreur humaine aurait permis la fuite

Négligence, malveillance
Internet 3 min
Outils volés de la NSA : une erreur humaine aurait permis la fuite
Crédits : EFF (licence CC-BY 3.0)

Le récent vol des outils de piratage de la NSA serait dû à une erreur humaine. L’agence était a priori au courant quand ils ont été exposés au public, mais n’aurait pas cru bon d’avertir les entreprises dont les failles étaient révélées.

Une erreur humaine. C’est ce que qu’auraient indiqué des responsables de la NSA au FBI, chargé de l'enquête. Reuters, qui a publié l'information, cite quatre personnes proches de l’investigation. Un employé de la NSA aurait en fait « oublié » ces précieux outils sur un serveur distant il y a trois ans, découvert plus tard par les pirates russes se faisant appeler les Shadow Brokers.

Toujours selon ces sources, celui-ci aurait très rapidement avoué son erreur quand les actions des Shadow Brokers ont commencé à être connues. Cependant, le déchainement de la presse n’a semble-t-il pas provoqué de réaction de prévention à la NSA, qui n’a pas cherché à avertir les différentes entreprises concernées par des produits où des failles avaient été révélées.

Liens troubles

Il faut rappeler en effet que dans l’archive récupérée par les pirates russes se trouvaient plusieurs types de données. Il était question de documentation, de failles de sécurité ainsi que d'outils (en tout 300) pour exploiter ces dernières. Parmi les vulnérabilités, plusieurs ont été rapidement confirmées par des constructeurs, notamment Cisco, Fortinet et Juniper. Tous trois ont communiqué sur ces brèches pour indiquer qu’elles étaient réelles, et des correctifs ont été diffusés dans les jours ou semaines qui ont suivi.

Ces outils étaient liés de près à Equation Group, des pirates restés indétectés pendant au moins 14 années. Les éditeurs Kaspersky et Symantec en particulier s’étaient penchés sur ses activités, le premier mettant en évidence une paternité avérée avec quelques-uns des malwares les plus avancés repérés, dont Duqu, Stuxnet et Flame. Or, le même éditeur avait affirmé que les deux premiers résultaient d’une coopération entre les États-Unis et Israël. Ce qui a rapidement fait dire à la presse que les outils dérobés appartenaient en fait à la NSA.

Simple oubli ou action délibérée ?

Si l’on en croit les sources de Reuters, l’employé qui avait laissé les outils sur le serveur a quitté la NSA depuis un moment, pour d’autres raisons. Il pourrait s’agir d’un oubli « malencontreux », mais l’accès à un serveur distant permet de savoir maintenant que la NSA elle-même n’a pas été attaquée, ce qui était l’une des pistes envisagées (tout comme l’action d’un nouveau lanceur d’alertes). D’après Reuters, la piste d’un acte délibéré n’a pour autant pas encore été écartée.

La piste privilégiée serait en fait une attaque soutenue par la Russie. Selon l’une des sources de nos confrères, elle est préférée à la thèse du « simple » groupe criminel car la récupération des outils a été médiatisée au lieu de donner lieu directement à une vente secrète. L’objectif n’aurait donc jamais été véritablement d’obtenir une forte somme, mais de créer de multiples ondes de choc. En outre, si les outils étaient stockés depuis trois ans sur un serveur distant, ils ont très bien pu être exploités pendant tout ce temps.

La gestion des failles de sécurité au coeur du débat

L’action et les réactions participent cependant à un débat plus général. Il renvoie directement à la place qu’occupent les failles de sécurité dans les questions de sécurité nationale, dans les enquêtes ou dans l’obtention des renseignements. La NSA ne fait pas mystère que chaque faille trouvée fait l’objectif d’un examen. Dans 91 % des cas, ses détails en sont communiqués à l’éditeur concerné. Pour le reste, elle est libre de ne pas la révéler pour la réutiliser plus tard.

Or, la problématique centrale n’a évidemment pas bougé d’un iota. Toute faille non révélée est un danger potentiel pour l’ensemble des utilisateurs. Dans le cas de constructeurs comme Cisco et Fortinet, les brèches ont très bien pu être trouvées et exploitées par d’autres personnes. Le principe est le même qu’une porte dérobée quand son existence a été révélée. Le silence de la NSA peut avoir des conséquences lourdes lorsque les vulnérabilités touchent des produits aussi centraux que les routeurs. Il avait d’ailleurs été prouvé que grâce à deux failles, Equation Group pouvait facilement extraire les clés VPN des anciens pare-feu PIX de Cisco.

35 commentaires
Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

"Dans le cas de constructeurs comme Cisco et Fortinet, les brèches ont très bien pu être trouvées et exploitées par d’autres personnes."

"pu être" ... lol.

Bisousnours land.

Avatar de marba Abonné
Avatar de marbamarba- 23/09/16 à 14:53:32

Passionnant !
Il y a encore un doute sur le fait que les USA sont les instigateurs de ces attaques depuis qu'un général de l'armée US s'est fait poursuivre pour haute trahison, pour avoir fait fuiter des informations sur «un soft qu'ils n'ont pas dev »?

Sinon votre lienhttps://www.nextinpact.com/news/71784-flame-...  ne fonctionne pas.

Sinon ils ont partagé ces outils ? Je les mettrai bien à l'épreuve de la webcam de la voisine :p

Édité par marba le 23/09/2016 à 14:54
Avatar de hellmut Abonné
Avatar de hellmuthellmut- 23/09/16 à 14:54:03

a priori c'est pas le cas. en effet la NSA traquait les signatures des outils ou l'utilisation des 0days en question, et n'a apparemment rien détecté. Ils trouvent presque ça dommage, car ça leur aurait permis de détecter et d'analyser les comportements des potentiels adversaires (peut-être aussi pour ça que les mecs en question les ont jamais utilisées et les ont diffusées des années plus tard). :transpi:

plus globalement les collisions de 0days (le fait que 2 entités trouvent et exploitent les mêmes failles) sont apparemment relativement faibles, même si on a évidemment pas de chiffres là-dessus.

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 23/09/16 à 14:55:37

le général en question, Petraeus, a été il me semble gracié, et le soft en question c'était une boite mail dormante sur laquelle il échangeait avec sa biographe/maîtresse. ^^

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

Là tu m’intéresses.

colisions 0day : quelles collisions ?
on peut exploiter une même faille à deux , aucun souci : une fois que tu es dans le "shell" ...

Avatar de spamplemousse INpactien
Avatar de spamplemoussespamplemousse- 23/09/16 à 14:57:25

Il n'y a pas marqué "les brèches trouvées ont très bien pu être exploitées par d'autres personnes" (qui pour le coup serait en effet du "bisounours land"), mais bien "les brèches ont très bien pu être trouvées et exploitées par d’autres personnes." 

Il y a peu d'autres organisations qui ont les moyens de la NSA, je ne vois pas en quoi dire que peut-être une autre aurait pu avoir trouvé les même failles est du "bisounours land"...

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

ben oui pour que des c... les utilises et soient à leur tour backdooré !
:langue:

Avatar de ProFesseur Onizuka Abonné
Avatar de ProFesseur OnizukaProFesseur Onizuka- 23/09/16 à 14:58:36

Haha les USA fabriquent des portes dérobées et laisse trainer les clefs à la vue des Russes, qui ont pu espionner les entreprises des USA pendant plusieurs années :mdr2:

Avatar de anonyme_8db2db86e6e8bfd8080de99876638d13 INpactien

"les deux premiers résultaient d’une coopération entre les États-Unis et Israël."
C'est pourtant pas leur genre à tous les deux, mais bon, on change pas une équipe qui gagne ! :troll:

Édité par Trollalalala le 23/09/2016 à 15:00
Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

éh éh !

Il n'est plus possible de commenter cette actualité.
Page 1 / 4
  • Introduction
  • Liens troubles
  • Simple oubli ou action délibérée ?
  • La gestion des failles de sécurité au coeur du débat
S'abonner à partir de 3,75 €