La NSA vit des temps troublés. Elle n’était pas remise des révélations d’Edward Snowden qu’elle devait déjà affronter une autre menace : les Shadow Brokers, pirates dont l’identité reste inconnue. Dans un climat d’intense suspicion, l’agence américaine semble avoir bien du mal à redresser la barre.
Le moral au sein de la National Security Agency serait au plus bas. C’est ce qui ressort d’un long article du New York Times après différents entretiens avec d’anciens et actuels employés, de tous les niveaux hiérarchiques. Au point qu’une partie des embauchés se laissent désormais tenter par des offres dans le privé.
Pourquoi une ambiance si maussade ? Parce que l’agence américaine enchaine les déconvenues. L’exposition de nombreux secrets par Edward Snowden en 2013 a provoqué en interne une vaste enquête. Et les plaies n’étaient pas cicatrisées qu’une menace encore plus sérieuse survenait avec les Shadow Brokers. Or, autant Snowden pouvait être identifié, autant ces pirates sont toujours auréolés de mystère.
2013, le début de la série noire
En juin 2013, Edward Snowden passait de l’anonymat à la célébrité. Cet ancien sous-traitant de la NSA avait fourni à divers grands médias des dizaines de milliers de documents évoquant les multiples processus, opérations, programmes et outils de l'agence, accompagnés de nombreux noms de code, documents internes et même des présentations PowerPoint.
2013 était alors l’année limite de « fraîcheur » des informations de Snowden. Il est depuis réfugié en Russie, qui lui a accordé l’asile politique. Cette année 2013 représente une autre limite : celles des informations fournies par les Shadow Brokers. Des publications qui ont commencé en août 2016 et sont même devenues mensuelles depuis le début de l’été, via un système d’abonnement.
Selon le New York Times, les effets conjoints de ces deux lignes d’action ont eu un effet dévastateur sur la NSA. L’enquête démarrée pour savoir comment les Shadow Brokers s’étaient procuré un matériel si sensible n’aurait pour l’instant pas eu de résultats probants. Les avis seraient toujours divisés : attaque persistante depuis l’extérieur ? Une ou plusieurs personnes à l’intérieur ? Ou peut-être un mélange des deux ?
Un moral en berne
Snowden fut un coup dur, forçant l’agence à revoir de nombreux protocoles de sécurité et à dépenser des millions de dollars en enquêtes. Mais l’arrivée des Shadow Brokers est d’une toute autre trempe.
Snowden avait publié en effet des informations que l’on pouvait considérer essentiellement de documentation. Les Shadow Brokers, eux, ont fourni du code, des exemples, des détails de vulnérabilités, des modes d’emplois. En d’autres termes, des armes. On se rappelle d’ailleurs comment ces informations ont été utilisées pour plusieurs malwares, dont un aux effets dévastateurs : NotPetya, ou Petrwrap.
Soudain, les États-Unis devaient expliquer aux chefs des entreprises touchées et aux nations alliées pourquoi des informations censément top secrètes circulaient librement sur Internet, permettant à n’importe quel pirate d’en tirer des menaces aussi sérieuses. Et comme si la situation n’était déjà pas très tendue pour la NSA, les Shadow Brokers ont continué à publier d’autres outils et codes, prouvant qu’ils n’étaient pas de simples fanfarons, en dépit d'éléments de langage confinant parfois à la puérilité (tout du moins en apparence).
Le New York Times parle d’une véritable « frayeur » au sein de la NSA, chez les personnes interrogées. Expert en sécurité et ancien membre de la section TAO (Tailored Access Operations), Jake Williams raconte ainsi à nos confrères comment il a découvert les agissements des Shadow Brokers via Twitter, surpris par le niveau de détails qu’ils possédaient. Jusqu’à ce que les pirates s’en prennent directement à lui, mentionnant des détails confidentiels d'opérations auxquelles il avait participé.
Selon d’autres sources, la suspicion serait à son maximum à la NSA. L’enquête a abouti à trois arrestations (une secrète, Harold Martin et Reality Winner), mais la question demeure : ont-ils aidé les Shadow Brokers, volontairement ou non ? Pendant que l’enquête continue, de nombreux employés auraient vu leur passeport réclamé. Des vacances leurs auraient été également imposées, de même qu’une série d’interrogatoires.
Un contexte provoquant une intense démotivation selon ces mêmes sources. Des employés se laisseraient en conséquence tenter par un travail dans le privé, même si celui à la NSA était perçu par certains comme une véritable « licence de piratage », l’agence étant le seul endroit aux États-Unis où il était possible de se livrer à de telles activités en toute légalité.
Une attaque trop développée au détriment de la défense ?
C’est effectivement ce que l’on pourrait penser devant l’ampleur de la catastrophe. À travers le fiasco de la NSA, c’est toute la stratégie de sécurité des États-Unis qui semble à revoir.
Les origines de la force de frappe « énesienne » remontent à plus d’une dizaine d’années, quand l’agence met sur pied un petit groupe nommé Tailored Access Operations. Les employés sélectionnés sont pour beaucoup de jeunes hackers souhaitant mettre leurs compétences au défi d'une réalité abrupte. Les consignes étaient simples : trouver la meilleure solution pour obtenir les informations présentes sur une machine particulière.
Avec les années, le groupe a grandi au point de contenir plusieurs centaines de personnes, qui seraient aujourd’hui toutes suspectés selon les sources du NYT. Les méthodes ont évolué, la section s’appuyant beaucoup plus sur les implants, comme autant de relais d’informations. Mais les publications des Shadow Brokers ont mis la plupart d’entre eux au rebus, les agents en désactivant et supprimant la plupart, se coupant alors de sources de données.
Leon Panetta, anciennement secrétaire à la Défense et directeur de la CIA, indique qu’à chaque publication révélant le code de la NSA, tout l'arsenal est à revoir... entrainant des retards dans les autres projets. D’autant que personne ne semble savoir comment la situation a pu se dégrader en si peu de temps.
Un mystère d’autant plus agaçant pour l’agence que l’identité des Shadow Brokers reste un mystère, même si la piste russe est souvent évoquée.
États-Unis contre Russie : la piste des éléments troubles
Le contexte géopolitique particulièrement tendu entre les deux pays rappelle la guerre froide, dans une version beaucoup plus discrète. Certains enchainements laissent cependant entrevoir quelques pistes.
Sur un plan médiatique, les premières balles semblent avoir été tirées par les Américains, via des sociétés de sécurité comme Symantec ou FireEye. Ces dernières pointaient vers une origine russe pour certaines attaques. En même temps, ou peut-être en réaction, Kaspersky lançait sa propre chasse : trouver les implants utilisés par la NSA, ajouter les signatures à ses solutions antivirales et publier tout un dossier.
Un travail terminé en février 2015 : l’éditeur russe parle pour la première d’Equation Group… qui ne serait autre que le nom donné par l’entreprise à la division TAO de la NSA. Rappel, les Shadow Brokers ont publié les premiers outils de la NSA en précisant les avoir récupérés par une attaque contre Equation Group. On a appris plus tard qu’au moins une partie du code avait été trouvé sur un serveur laissé presque à l’abandon, résultat d’une importante erreur humaine.
Selon des sources du NYT, ces échanges de tirs étaient une manifestation de la guerre que se menaient les deux pays, agissant par entreprises interposées pour chasser chacun les implants de l’autre. Difficile évidemment d’avoir le fin mot de l’histoire, mais cette hypothèse jetterait une lumière nouvelle sur la mise au ban d’un Kaspersky par les administrations américaines, l’éditeur étant accusé notamment de faciliter le travail du renseignement russe. Récemment, il s'est lancé dans une vaste opération de transparence pour tenter de contrôler les dégâts.
Les Shadow Brokers sont-ils russes ? Impossible à dire pour l’instant. Le contexte et l'ampleur de leurs actions le laissent présumer, mais dans un tel jeu de dupes international, il pourrait tout aussi bien s’agir d’une vaste stratégie pour le laisser croire.
L’avenir de la NSA pourrait être remis en cause
Dans une ère post-Snowden, il serait difficile d’évaluer un tel écroulement comme une victoire. Il est évident que les États-Unis, quel que soit le futur de l’agence, ne laisseront pas retomber leurs efforts sur l’espionnage, particulièrement électronique, sous toutes ses formes.
L’agence américaine cumule les échecs depuis 2013, mais si elle devait disparaître, ce serait probablement pour être remplacée par une nouvelle variante. En attendant, des travaux sont en cours, car divers aspects de ses activités vont devoir être revus.
L’administration Trump a par exemple confirmé que le processus d’examen des failles serait modifié pour être plus transparents. Un point essentiel. On se souvient que la NSA avait communiqué sur la question, claironnant que 91 % des vulnérabilités étaient communiquées à leurs éditeurs respectifs. Les 9 % restants étaient tenus secrets, en vue d’une éventuelle utilisation. Mais l’agence étant manifestement incapable de défendre son arsenal, c’est tout le processus qui est désormais à revoir.
Reste que la situation va rester très tendue pour l’agence pendant un bon moment. Mais, interrogée par nos confrères, elle a non seulement répondu qu’elle ne faisait pas de commentaires sur les publications des Shadow Brokers (ce qui n’a rien d’une surprise), mais également que le moral dans ses équipes étaient bons. Le nombre de candidatures spontanées pour y travailler atteindrait la bagatelle de 140 000 par an.
