Les pirates du groupe Shadow Brokers ont finalement étalé hier soir les conditions de leur « abonnement ». Pour 24 000 dollars par mois environ, ils proposent un pack mensuel de failles de sécurité et d’outils, dont on suppose qu’au moins une bonne partie proviendront de la NSA. Une formule qui pose bien des questions, notamment d’ordre éthique.
Les Shadow Brokers se sont fait connaître il y a plusieurs mois et ont enchainé depuis les publications cataclysmiques. Ce fut très notablement le cas de celle d’avril, qui contenait des informations sur des failles récentes ainsi que des outils de la NSA. Deux éléments en particulier ont eu de grandes répercussions : le malware DoublePulsar et la faille SMB dans Windows surnommée EternalBlue.
On connait les conséquences, puisqu’ils ont servi de base à la création de WannaCrypt, le ransomware responsable de centaines de milliers d’infections, et donc de problèmes pour les structures et entreprises touchées. Ce fut notamment le cas du système de santé anglais, ou encore de Renault, dont plusieurs usines avaient été mises à l’arrêt. Sans parler du vaste débat sur le stockage des failles par les États relancé par le malware.
Bien décidé à creuser cette voie, le ou les pirates ont indiqué il y a deux semaines qu’ils proposent un abonnement pour diffuser, contre des espèces sonnantes et trébuchantes, une distribution de failles et autres outils du renseignement sur une base mensuelle. Dont acte.
24 000 dollars par mois pour des lots de failles
Voici donc ce que proposent les pirates. Pour 100 zCash (une cryptomonnaie) par mois, soit environ 24 000 dollars, ils fourniront un pack contenant des détails sur des failles de sécurité ainsi que différents outils. On estime que ces derniers serviront à exploiter les premières, mais il peut s’agir de programmes plus généraux.
Ces données proviendront en grande majorité de la NSA, mais il est probable que les sources se diversifient par la suite. Après tout, l’agence américaine de renseignement ne détient pas un stock illimité d’outils. Les Shadow Brokers évoquent une diffusion sur au moins plusieurs mois, même si le nombre d’outils compris dans chaque pack reste à déterminer.
Le communiqué des pirates contient l’adresse où effectuer le versement, et ils préviennent que le cours du zCash risque d’augmenter. Il faut donc, d'après eux, se dépêcher. Les paiements pourront être effectués entre le 6 et le 30 juin pour recevoir la première livraison, qui sera accompagnée d’un lien et d’un mot de passe durant la première quinzaine de juillet. Des informations seront également données sur le prochain pack.
Notez que les pirates ont évoqué des informations sur les partenaires bancaires SWIFT et même sur les programmes nucléaires russe, chinois et nord-coréen. Des données qui, si elles sont réelles, seraient extrêmement sensibles.
Les Shadow Brokers sont-ils sérieux ?
Rien à ce jour ne permet de penser que ce n’est pas le cas. Les pirates ont laissé un véritable sillage de faits très concrets. Toutes leurs menaces ont été mises à exécution jusqu’à présent, et même si toutes les publications n’ont pas eu d’effet, il est plus que probable qu’ils ont encore de nombreuses surprises en réserve.
La manière dont ils s’y sont pris reste un mystère. Ils s’étaient copieusement moqués de la NSA pour le manque de sécurisation de certains serveurs. On se rappelle que le vol initial avait été perpétré contre Equation Group, une cellule de pirates que beaucoup décrivent comme très proche de la NSA, voire faisant partie intégrante de l’agence. Le premier vol avait pu avoir lieu car un « agent » les avait laissés sans protection spécifique sur un serveur.
On ignore encore la portée de ce cambriolage. Soit les Shadow Brokers ont bien publié tout ce qui avait été pris à cette occasion et ont eu d’autres sources, soit la fuite était plus importante que ce qui en a été montré. Rappelons que dans une précédente publication, les pirates ont affirmé détenir environ 75 % de l’arsenal de la NSA, ce qui reste évidemment à prouver.
Une proposition qui soulève des questions éthiques
Le simple fait de proposer une formule d’abonnement mensuel pose un véritable problème dans le monde de la sécurité. Face à cette « opportunité », les chercheurs n’ont que deux solutions : payer et faire leur jeu, ou ne pas payer et prendre le risque de se retrouver démunis face à d’éventuelles attaques.
Le problème est particulièrement concret depuis le passage de WannaCrypt. Les dégâts ont été importants, mais ont pourtant été atténués par la publication le mois précédent de mises à jour logicielles par Microsoft. Toutes les principales failles – dont EternalBlue – avaient été corrigées. On supposait alors que la NSA pouvait très bien avoir donné les informations à l’éditeur, consciente qu’elle ne pouvait plus empêcher la publication des vulnérabilités. Une piste que le Washington Post a explorée il y a deux semaines, affirmant que cette communication avait bien eu lieu.
Comment prévoir dès lors les futures catastrophes si les données des Shadow Brokers ne sont pas analysées pour voir les failles et techniques qui seront exploitées ? D’un autre côté, si des chercheurs acceptent de payer, cela revient à financer des pirates pour d’éventuelles actions ultérieures.
Un dilemme résumé notamment par Matthew Hickey, cofondateur de la société Hacker House, qui a indiqué à Ars Technica : « J’ai un vrai problème moral [avec cette situation]. Soutenir un comportement criminel enverrait un mauvais message. D’un autre côté, je pense que 24 000 dollars sont un petit prix à payer pour éviter un autre WannaCrypt, et je pense que de nombreuses victimes partagent ce sentiment ».
Par ailleurs, cette piquante situation soulève d’autres questions, en particulier sur les motivations des pirates, et bien sûr sur leur identité.
Les objectifs des pirates restent un mystère
L’un des plus gros problèmes au sujet des Shadow Brokers est leur identité. Il existe des pistes menant vers la Russie, d’autres vers la Corée du Nord, mais la vérité est qu’il n’existe aucune preuve définitive.
Avec l’identité viennent les objectifs : on ne sait ce que veulent vraiment les Shadow Brokers. Demander 24 000 dollars pour un pack de failles et d’outils semble dérisoire comparé au potentiel d’une seule faille bien placée. On se rappelle ainsi comment le FBI avait payé au moins 1,4 million de dollars pour la faille qui lui avait permis de percer les défenses d’iOS 9 dans un iPhone 5C dans l’affaire San Bernardino.
EternalBlue, utilisée par WannaCrypt, aurait donc très bien pu être revendu dans cette gamme de prix. Les Shadow Brokers ont cependant décidé de publier gratuitement ces informations, pour le « simple plaisir » de mettre la pagaille... Et fournir un échantillon du contenu de leur besace. Au vu du résultat, la mission est de ce point réussie. À se demander en fait si les 100 zCash ne sont pas là surtout pour brouiller les pistes et laisser penser qu’il s’agit bien de pirates « classiques », et non plus d’une agence étrangère de renseignement.
Langage puéril d'un côté, promesses tenues de l'autre
Les traces laissées par les Shadow Brokers ont de quoi rendre perplexe. Les communiqués sont ainsi rédigés dans un anglais approximatif, laissant apparaître un caractère presque infantile, avec un ton particulièrement railleur et orgueilleux, certaines des réactions laissant penser à une fierté blessée. Mais dans l’absolu, ces éléments de langage ne veulent rien dire.
Le projet Marble de la CIA, révélé par Wikileaks, a montré comment les agences de renseignement pouvaient consacrer de nombreux effort à masquer leurs traces. Pour rappel, Marble permettait de cacher la provenance d’un code, voire de le modifier afin de renvoyer dans une autre direction, par exemple une agence ennemie. Des malwares ont ainsi pu être attribués par erreur à certains pays au cours des années précédentes. Il n’est donc pas difficile d’imaginer que ces textes, qui paraissent parfois si puérils, soient en fait des constructions méticuleuses, encore une fois pour brouiller les pistes.
D'un autre côté, et alors que le langage pourrait laisser penser à un groupe de jeunes pirates désorganisés, ils ont prouvé à chaque fois qu'ils étaient capables de tenir leurs engagements. D'autant que s'ils détiennent vraiment 75 % du « cyberarsenal » de la NSA tout en ayant jusqu'à présent réussi à cacher leur identité, c'est qu'ils n'ont rien d'amateurs. Ce qui renforce l'idée d'un groupe très organisé se faisant passer pour ce qu'il n'est pas. La revente « sûre » des failles pour 100 zCash mensuels, plutôt qu'une exploitation concrète plus aléatoire, pourrait aller en ce sens.
Il ne reste dans tous les cas qu’à attendre, car le sérieux de la menace ne pourra être mesuré qu'avec le contenu du premier pack. Les Shadow Brokers n’indiquent pas exactement quand il sera diffusé, en dehors de la « première moitié de juillet ».
