Les Shadow Brokers sont de retour, et n’ont aucune intention de se faire oublier. Les responsables de la fuite de fichiers qui ont permis l’émergence de WannaCrypt annoncent qu’ils publieront chaque mois de nouvelles informations, en allant particulièrement loin.
On ne sait pas qui sont les pirates du groupe Shadow Brokers. Ils se sont fait connaître en août de l’année dernière en annonçant avoir dérobé tout un lot d’outils et de failles à Equation Group, proche de la NSA (considéré en fait comme faisant partie intégrante de l’agence américaine).
Depuis, les Shadow Brokers sont revenus plusieurs fois sous les feux des projecteurs, particulièrement pour s’en prendre à Donald Trump et sa politique, qu’ils souhaiteraient voir se rapprocher davantage de la Russie. Après avoir fourni en avril des informations qui n’étaient plus de prime fraicheur, ils reviennent une semaine plus tard avec des données beaucoup plus sensibles, notamment sur le malware DoublePulsar, l’une des bases de l’actuel ransomware WannaCrypt, ainsi que sur un lot de failles, dont l’une est actuellement exploitée (EternalBlue).
Ils ne souhaitent manifestement pas qu’on les oublie et ont décidé de proposer… un abonnement mensuel.
Une formule mensuelle pour des informations fraiches
Dans un nouveau communiqué à l’anglais toujours aussi approximatif dans ses tournures, le groupe expose une curieuse philosophie. Ils vont ainsi proposer des informations à la vente. Si personne n’est intéressé, il n’y aura aucun problème de sécurité. Ils semblent particulièrement frustrés de ne pas avoir été pris au sérieux précédemment et ont bien l’intention de remédier à ce « problème ».
Dans leur version toute personnelle des clubs permettant de recevoir tous les mois de nouvelles bouteilles de vin, les pirates proposent donc de s’abonner pour recevoir régulièrement des informations fraiches : exploitations de failles dans les navigateurs, routeurs, smartphones et systèmes d’exploitation, données émanant de banques et de fournisseurs de services SWIFT, informations volées aux réseaux internes de la Russie, de la Chine et de l’Iran, et jusqu’à des données issues… du programme nucléaire nord-coréen.
Un abonnement ouvert à tous
Les pirates ont visiblement changé de technique. On se rappelle qu’initialement, les données dérobées à Equation Group devaient être vendues aux enchères. L’ensemble frôlait le million de dollars, mais personne n’a finalement été intéressé. De frustration, ils avaient fini par donner la clé de l’archive en signe de protestation contre Trump.
Le fonctionnement de l’offre est donc clair : tous ceux qui paieront l’abonnement – le tarif est inconnu – recevront les informations, qui que soient les acheteurs. On peut se demander d’ailleurs si d’autres groupes de pirates auront envie d’investir s’ils doivent se retrouver sur un pied d’égalité et donc en concurrence. Les failles de sécurité 0-day (déjà exploitées quand elles sont révélées à leurs éditeurs respectifs) sont une denrée précieuse dont le trafic nuit largement aux utilisateurs. Là encore, s’il fallait une piqure de rappel, le cas de WannaCrypt illustre parfaitement la situation.
Les Shadow Brokers s’en prennent aux gouvernements et grosses entreprises
Rien ne semble trouver grâce aux yeux des pirates. Ils critiquent particulièrement le gouvernement américain dont la politique de sécurité produit exactement le résultat inverse.
Les pirates vont jusqu’à l’accuser en fait d’avoir des espions et agents au sein-même des grandes entreprises américaines, notamment chez Microsoft. Il ferait ainsi un véritable travail de sape en leur demandant de ne pas corriger certaines failles, afin qu’elles puissent continuer à être exploitées au cours des missions.
Ils en tiennent pour preuve les informations révélées en avril. Microsoft avait rapidement réagi pour indiquer que la quasi-totalité de ces failles avait déjà été corrigée lors du Patch Tuesday de mars. Signe pour les pirates d’une communication malsaine. Une explication plausible est plutôt que la NSA, sachant que ces informations étaient sur le point d’être révélées et ne pouvant rien y faire, aurait averti Microsoft pour limiter les dégâts. Au vu des dégâts provoqués par WannaCrypt, on se rend bien compte que même deux mois ne sont pas suffisants.
Même le programme Project Zero de Google ne trouve pas grâce aux yeux des Shadow Brokers. Il n’y aurait ainsi aucune coïncidence entre les informations données par le chercheur Tavis Ormandy sur une faille dans Windows Defender et la correction extrêmement rapide faite par Microsoft. À vrai dire, on ne sait pas bien où les pirates veulent en venir. Ils se montrent toutefois beaucoup plus clairs en indiquant qu’un authentique membre d’Equation Group travaille dans le Project Zero.
L’annonce doit-elle être prise au sérieux ?
C’est la grande question. Car en dépit d’un style quelque peu loufoque dans la présentation et des annonces grandiloquentes, les Shadow Brokers ont prouvé à chaque fois leurs dires et joint le geste à la parole.
S’ils mettent leur plan à exécution, alors la première archive mensuelle sera fournie en juin. Rien ce mois-ci, les pirates indiquant qu’ils « mangent du popcorn » en profitant du spectacle offert par WannaCrypt. Et d’annoncer d’ailleurs dans la foulée que « selon l’oracle », c’est bien la Corée du Nord qui serait derrière cette attaque. Des propos que ne viennent étayer évidemment aucun complément d’information.
Il y a dans tous les cas de fortes chances que les pirates mettent leur plan à exécution, ce qui pourrait provoquer de nouvelles catastrophes. D’autant que cette fois, on ne sait pas d’où viennent réellement ces informations. Dans le cas d’Equation Group, la NSA pouvait avoir en effet une idée très précise de ce qui allait être diffusé. Cette fois, les données pourraient bien être plus surprenantes, d’autant que les Shadow Brokers insistent sur la fraicheur des informations, précisant au passage que Windows 10 est concerné.
Il est probable qu’un grand nombre d’acteurs se tiennent maintenant sur leurs gardes. Malheureusement, il est tout aussi probable qu’il faudra attendre le mois prochain pour savoir de quoi il retourne. Les pirates communiqueront sans doute à nouveau, ne serait-ce que pour donner le tarif et la marche à suivre.
