En août dernier, les pirates de Shadow Brokers annonçaient avoir dérobé près de 300 outils appartenant à Equation Group, proche de la NSA. Ils ont tenté depuis de les vendre aux enchères, sans succès. Ils passent donc à la vente directe.
Durant l’été, on apprenait que les Shadow Brokers s’étaient attaqué à Equation Group, des pirates dont Kaspersky avait décrit à plusieurs reprises le haut degré de connaissances techniques. Rapidement, il était apparu que ces outils provenaient de la NSA, renforçant encore l’idée qu’Equation Group était lié à l’agence américaine de renseignement.
Ces outils étaient accompagnés d’une longue liste de failles, notamment dans les équipements réseau de Cisco et Fortinet, qui les avaient confirmées. Pendant que les constructeurs impliqués publiaient des mises à jour pour colmater les brèches, les Shadow Brokers tentaient de revendre les outils au plus offrant. Ils avaient même annoncé que si les enchères devaient dépasser le million de bitcoins (soit près d’un demi-milliard d’euros), des outils supplémentaires seraient distribués gratuitement.
De 1 à 100 bitcoins par outil
Mais les pirates n’ont pas réussi leur opération : il semble que personne ne se soit manifesté de manière sérieuse. Selon Motherboard, les Brokers sont passés à une nouvelle phase. Sur le site hébergé sur ZeroNet, on retrouve désormais ainsi les fameux outils, rangés par catégories (exploitations, troyens…). Chacun peut être acheté pour 1 à 100 bitcoins, soit de 750 à 75 000 euros environ. L’ensemble est facturé 1 000 bitcoins, soit 750 000 euros environ. On est loin des premières exigences.
Parallèlement, un certain « Boceffus Cleetus » a publié sur Medium un « communiqué » pour annoncer la mise en vente par les Shadow Brokers, fournissant au passage une capture qui présente une liste partielle d’outils. Le site fourni via ZeroNet propose une série de captures ainsi qu’un fichier contenant la même clé PGP de chiffrement que sur les fichiers que l’on pouvait obtenir en août. Tout porte donc à croire que les Shadow Brokers sont bien en train de tenter une vente directe aux intéressés.
Un simple email avec une adresse Bitcoin
Motherboard indique avoir tenté de contacter les pirates pour en savoir plus, sans succès. Nos confrères précisent cependant que la procédure d’achat semble simple. Il suffit en effet de contacter le vendeur et de lui indiquer les éléments que l’on souhaite acquérir. Un email est alors envoyé avec l’adresse Bitcoin pour effectuer le paiement.
On ne peut que souligner l’écart très conséquent de tarifs demandés pour ces outils. Il faut bien dire qu’ils sont loin désormais d’être secrets. Certains avaient déjà pu réussir à en obtenir une partie. Or, la valeur d’un outil de ce genre ou d’une faille dépend de son secret et du nombre de personnes y ayant accès. Par ailleurs, une partie des failles n’est même plus utilisable puisqu’elles concernaient des équipements réseaux qui ont été passés en revue depuis par leurs constructeurs.
