Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Shadow Brokers : 24 000 dollars par mois pour des outils de la NSA, un vrai problème éthique

To pay or not to pay?
Internet 7 min
Shadow Brokers : 24 000 dollars par mois pour des outils de la NSA, un vrai problème éthique
Crédits : PeopleImages/iStock

Les pirates du groupe Shadow Brokers ont finalement étalé hier soir les conditions de leur « abonnement ». Pour 24 000 dollars par mois environ, ils proposent un pack mensuel de failles de sécurité et d’outils, dont on suppose qu’au moins une bonne partie proviendront de la NSA. Une formule qui pose bien des questions, notamment d’ordre éthique.

Les Shadow Brokers se sont fait connaître il y a plusieurs mois et ont enchainé depuis les publications cataclysmiques. Ce fut très notablement le cas de celle d’avril, qui contenait des informations sur des failles récentes ainsi que des outils de la NSA. Deux éléments en particulier ont eu de grandes répercussions : le malware DoublePulsar et la faille SMB dans Windows surnommée EternalBlue.

On connait les conséquences, puisqu’ils ont servi de base à la création de WannaCrypt, le ransomware responsable de centaines de milliers d’infections, et donc de problèmes pour les structures et entreprises touchées. Ce fut notamment le cas du système de santé anglais, ou encore de Renault, dont plusieurs usines avaient été mises à l’arrêt. Sans parler du vaste débat sur le stockage des failles par les États relancé par le malware.

Bien décidé à creuser cette voie, le ou les pirates ont indiqué il y a deux semaines qu’ils proposent un abonnement pour diffuser, contre des espèces sonnantes et trébuchantes, une distribution de failles et autres outils du renseignement sur une base mensuelle. Dont acte.

24 000 dollars par mois pour des lots de failles

Voici donc ce que proposent les pirates. Pour 100 zCash (une cryptomonnaie) par mois, soit environ 24 000 dollars, ils fourniront un pack contenant des détails sur des failles de sécurité ainsi que différents outils. On estime que ces derniers serviront à exploiter les premières, mais il peut s’agir de programmes plus généraux.

Ces données proviendront en grande majorité de la NSA, mais il est probable que les sources se diversifient par la suite. Après tout, l’agence américaine de renseignement ne détient pas un stock illimité d’outils. Les Shadow Brokers évoquent une diffusion sur au moins plusieurs mois, même si le nombre d’outils compris dans chaque pack reste à déterminer.

Le communiqué des pirates contient l’adresse où effectuer le versement, et ils préviennent que le cours du zCash risque d’augmenter. Il faut donc, d'après eux, se dépêcher. Les paiements pourront être effectués entre le 6 et le 30 juin pour recevoir la première livraison, qui sera accompagnée d’un lien et d’un mot de passe durant la première quinzaine de juillet. Des informations seront également données sur le prochain pack.

Notez que les pirates ont évoqué des informations sur les partenaires bancaires SWIFT et même sur les programmes nucléaires russe, chinois et nord-coréen. Des données qui, si elles sont réelles, seraient extrêmement sensibles.

Les Shadow Brokers sont-ils sérieux ?

Rien à ce jour ne permet de penser que ce n’est pas le cas. Les pirates ont laissé un véritable sillage de faits très concrets. Toutes leurs menaces ont été mises à exécution jusqu’à présent, et même si toutes les publications n’ont pas eu d’effet, il est plus que probable qu’ils ont encore de nombreuses surprises en réserve.

La manière dont ils s’y sont pris reste un mystère. Ils s’étaient copieusement moqués de la NSA pour le manque de sécurisation de certains serveurs. On se rappelle que le vol initial avait été perpétré contre Equation Group, une cellule de pirates que beaucoup décrivent comme très proche de la NSA, voire faisant partie intégrante de l’agence. Le premier vol avait pu avoir lieu car un « agent » les avait laissés sans protection spécifique sur un serveur.

On ignore encore la portée de ce cambriolage. Soit les Shadow Brokers ont bien publié tout ce qui avait été pris à cette occasion et ont eu d’autres sources, soit la fuite était plus importante que ce qui en a été montré. Rappelons que dans une précédente publication, les pirates ont affirmé détenir environ 75 % de l’arsenal de la NSA, ce qui reste évidemment à prouver.

Une proposition qui soulève des questions éthiques

Le simple fait de proposer une formule d’abonnement mensuel pose un véritable problème dans le monde de la sécurité. Face à cette « opportunité », les chercheurs n’ont que deux solutions : payer et faire leur jeu, ou ne pas payer et prendre le risque de se retrouver démunis face à d’éventuelles attaques.

Le problème est particulièrement concret depuis le passage de WannaCrypt. Les dégâts ont été importants, mais ont pourtant été atténués par la publication le mois précédent de mises à jour logicielles par Microsoft. Toutes les principales failles – dont EternalBlue – avaient été corrigées. On supposait alors que la NSA pouvait très bien avoir donné les informations à l’éditeur, consciente qu’elle ne pouvait plus empêcher la publication des vulnérabilités. Une piste que le Washington Post a explorée il y a deux semaines, affirmant que cette communication avait bien eu lieu.

Comment prévoir dès lors les futures catastrophes si les données des Shadow Brokers ne sont pas analysées pour voir les failles et techniques qui seront exploitées ? D’un autre côté, si des chercheurs acceptent de payer, cela revient à financer des pirates pour d’éventuelles actions ultérieures.

Un dilemme résumé notamment par Matthew Hickey, cofondateur de la société Hacker House, qui a indiqué à Ars Technica : « J’ai un vrai problème moral [avec cette situation]. Soutenir un comportement criminel enverrait un mauvais message. D’un autre côté, je pense que 24 000 dollars sont un petit prix à payer pour éviter un autre WannaCrypt, et je pense que de nombreuses victimes partagent ce sentiment ».

Par ailleurs, cette piquante situation soulève d’autres questions, en particulier sur les motivations des pirates, et bien sûr sur leur identité.

Les objectifs des pirates restent un mystère

L’un des plus gros problèmes au sujet des Shadow Brokers est leur identité. Il existe des pistes menant vers la Russie, d’autres vers la Corée du Nord, mais la vérité est qu’il n’existe aucune preuve définitive.

Avec l’identité viennent les objectifs : on ne sait ce que veulent vraiment les Shadow Brokers. Demander 24 000 dollars pour un pack de failles et d’outils semble dérisoire comparé au potentiel d’une seule faille bien placée. On se rappelle ainsi comment le FBI avait payé au moins 1,4 million de dollars pour la faille qui lui avait permis de percer les défenses d’iOS 9 dans un iPhone 5C dans l’affaire San Bernardino.

EternalBlue, utilisée par WannaCrypt, aurait donc très bien pu être revendu dans cette gamme de prix. Les Shadow Brokers ont cependant décidé de publier gratuitement ces informations, pour le « simple plaisir » de mettre la pagaille... Et fournir un échantillon du contenu de leur besace. Au vu du résultat, la mission est de ce point réussie. À se demander en fait si les 100 zCash ne sont pas là surtout pour brouiller les pistes et laisser penser qu’il s’agit bien de pirates « classiques », et non plus d’une agence étrangère de renseignement.

Langage puéril d'un côté, promesses tenues de l'autre

Les traces laissées par les Shadow Brokers ont de quoi rendre perplexe. Les communiqués sont ainsi rédigés dans un anglais approximatif, laissant apparaître un caractère presque infantile, avec un ton particulièrement railleur et orgueilleux, certaines des réactions laissant penser à une fierté blessée. Mais dans l’absolu, ces éléments de langage ne veulent rien dire.

Le projet Marble de la CIA, révélé par Wikileaks, a montré comment les agences de renseignement pouvaient consacrer de nombreux effort à masquer leurs traces. Pour rappel, Marble permettait de cacher la provenance d’un code, voire de le modifier afin de renvoyer dans une autre direction, par exemple une agence ennemie. Des malwares ont ainsi pu être attribués par erreur à certains pays au cours des années précédentes. Il n’est donc pas difficile d’imaginer que ces textes, qui paraissent parfois si puérils, soient en fait des constructions méticuleuses, encore une fois pour brouiller les pistes.

D'un autre côté, et alors que le langage pourrait laisser penser à un groupe de jeunes pirates désorganisés, ils ont prouvé à chaque fois qu'ils étaient capables de tenir leurs engagements. D'autant que s'ils détiennent vraiment 75 % du « cyberarsenal » de la NSA tout en ayant jusqu'à présent réussi à cacher leur identité, c'est qu'ils n'ont rien d'amateurs. Ce qui renforce l'idée d'un groupe très organisé se faisant passer pour ce qu'il n'est pas. La revente « sûre » des failles pour 100 zCash mensuels, plutôt qu'une exploitation concrète plus aléatoire, pourrait aller en ce sens.

Il ne reste dans tous les cas qu’à attendre, car le sérieux de la menace ne pourra être mesuré qu'avec le contenu du premier pack. Les Shadow Brokers n’indiquent pas exactement quand il sera diffusé, en dehors de la « première moitié de juillet ».

35 commentaires
Avatar de Ricard INpactien
Avatar de RicardRicard- 31/05/17 à 15:47:07

Et ben on a pas fini avec les attaques d'envergure à répétition... GG les gars.:yes:

Avatar de Burn2 Abonné
Avatar de Burn2Burn2- 31/05/17 à 15:47:22

Très bon article qui explique bien le fond du problème.
Payer ou pas telle est la question...

Dans tous les cas si le problème est réel, les admins vont avoir encore pas mal de maj à passer en urgence pour combler ces failles....

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 31/05/17 à 15:50:08

Ricard a écrit :

Et ben on a pas fini avec les attaques d'envergure à répétition... GG les gars.:yes:

pour compenser le karma : on en a pas fini avec des MàJ améliorant la sécurité en colmatant les failles (si les chercheurs choisissent cette solution dans leur dilemme du tramway).

edit : ah bah BBQed

Édité par WereWindle le 31/05/2017 à 15:50
Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 31/05/17 à 15:56:21

Rappelons que dans une précédente publication, les pirates ont affirmé détenir environ 75 % de l’arsenal de la NSA, ce qui reste évidemment à prouver.

Comment ils peuvent savoir?

En tout cas merci à eux, les gens vont peut-être enfin s'intéresser à la sécurité informatique

PS : "oui mais ya des victimes et tout, pas bien" -> balec

Avatar de Café In INpactien
Avatar de Café InCafé In- 31/05/17 à 16:20:46

Et comment peuvent-ils être surs de pouvoir continuer à piller la NSA mensuellement? C'est payable d'avance les 24 000, ou à la livraison?

Avatar de Xaelias INpactien
Avatar de XaeliasXaelias- 31/05/17 à 16:22:09

Café In a écrit :

Et comment peuvent-ils être surs de pouvoir continuer à piller la NSA mensuellement? C'est payable d'avance les 24 000, ou à la livraison?

Payable d'avance. Et ils compte pas continuer de piller la NSA. Just tout les mois, ils filent une portion de ce qu'ils ont.

Avatar de darkweizer Abonné
Avatar de darkweizerdarkweizer- 31/05/17 à 16:28:36

Burn2 a écrit :

Très bon article qui explique bien le fond du problème.
Payer ou pas telle est la question...

Dans tous les cas si le problème est réel, les admins vont avoir encore pas mal de maj à passer en urgence pour combler ces failles....

Exact !
C'est comme payer les rançons d’enlèvement par des terroristes. Payer pour sauver une ou des vies immédiatement mais financer le terrorisme (et donc potentiellement en mettre d'autre en danger) ou ne pas payer et "jouer" avec les vies des otages actuel.
Le jeu du chat et de la souris, à un autre niveau dans les deux cas malheureusement :craint:

Édité par darkweizer le 31/05/2017 à 16:29
Avatar de Z-os INpactien
Avatar de Z-osZ-os- 31/05/17 à 16:36:20

Et via la presse libre il y a moyen d'avoir une réduction ?

Avatar de Xaelias INpactien
Avatar de XaeliasXaelias- 31/05/17 à 16:37:55

darkweizer a écrit :

Exact !
C'est comme payer les rançons d’enlèvement par des terroristes. Payer pour sauver une ou des vies immédiatement mais financer le terrorisme (et donc potentiellement en mettre d'autre en danger) ou ne pas payer et "jouer" avec les vies des otages actuel.
Le jeu du chat et de la souris, à un autre niveau dans les deux cas malheureusement :craint:

Oui et non. $24k est une relative faible somme. Si un des chercheurs paye, et ensuite share avec l'intégralité de la communauté... Je pense que c'est worth it. Puis avec un peu de chance on apprendrait peut-être qqch sur eux.

Avatar de darkweizer Abonné
Avatar de darkweizerdarkweizer- 31/05/17 à 16:50:24

Xaelias a écrit :

Oui et non. $24k est une relative faible somme. Si un des chercheurs paye, et ensuite share avec l'intégralité de la communauté... Je pense que c'est worth it. Puis avec un peu de chance on apprendrait peut-être qqch sur eux.

$24k parce que ce sont les "premiers" (je n'ai pas eu vent d'autres groupes qui demandaient une telle rançon, encore moins mensuelle) ! Et c'est le premier mois. Ils le disent eux même, les 100zCash ne changeront pas, le cour ci ! Et surement à la hausse. Puis quid qu'ils ne demanderont pas plus de 100zCash dans X mois, finalement. Ou finalement 100 bitcoin. Si ça marche pour eux, d'autres groupes si mettront et ce ne sera plus seulement $24 000/m ;).
Les rançons des terroristes il y a quelques dizaines d'années en arrière n'étaient pas aussi élevés que maintenant (il n'y a qu'à voir les enlèvements de personnalité dans les années 70 en France, où les rançons explosaient de plus en plus. Les premières étaient anecdotiques, les suivantes de moins en moins ! L'époque change, pas les hommes)

Il n'est plus possible de commenter cette actualité.
Page 1 / 4