L’année dernière, les Shadow Brokers avaient piraté Equation Group, proche de la NSA. Ils avaient dérobé des outils et des informations sur des failles. L’archive principale restait verrouillée par un mot de passe, dont ils viennent de donner la clé. Le contenu se révèle « décevant ».
L’été 2016 avait été marqué par une lutte au sommet entre deux groupes de pirates. Les Shadow Brokers, dont on ne sait finalement pas grand-chose, et Equation Group, dont l’existence n’a été révélée (par des sociétés de sécurité) qu’après 14 ans de discrétion absolue.
En août dernier, les Shadow Brokers annoncent qu’ils ont réussi à attaquer Equation Group, volant de nombreux outils ainsi qu’un lot conséquent de failles de sécurité. Contrairement aux récentes fuites de Wikileaks sur la CIA, ces vulnérabilités étaient en bonne partie exploitables et avaient donné lieu à une vague de mises à jour, notamment chez Cisco et Fortinet.
Les Shadow Brokers ont tenté peu après de mettre l’archive principale – contenant 300 outils – aux enchères. Une approche qui n’a pas fonctionné, pas plus finalement que la vente directe en décembre dernier. Les pirates ont décidé de lancer la clé aux quatre vents. Un geste qui ne doit rien à la lassitude ni au hasard.
Une archive finalement décevante
Tout portait à croire que le fichier principal, une fois décompressé, contiendrait de nombreuses informations croustillantes sur des attaques récentes. Ce n’est pas le cas.
Plusieurs chercheurs en sécurité ont analysé le contenu de cette archive et se sont rapidement aperçus que la grande majorité des informations sont anciennes. Les attaques mentionnées s’étalent de 2000 à 2010, dont 910 serveurs. Dans le trio de tête des pays les plus ciblés, on trouve le Japon (110), la Chine (109) et la Corée du Sud (108).
Mais les fichiers et outils utilisés sont parfois encore plus vieux, puisqu’ils remontent pour certains à 1995. Ils ont en effet été compilés, pour les plus anciens, via GCC 2.7.2. La plupart des chercheurs indiquent clairement ne pas être impressionnés puisqu’une grande majorité des informations est en fait complètement périmée.
En fait, de nombreux outils sont dévolus à l’attaque de plateforme qu’on ne rencontre presque plus, comme Solaris 2 de Sun, ou Red Flag Linux que l’on trouvait en Chine. Des systèmes plus spécifiques, comme ceux destinés à Digital Equipment et Alpha, sont également référencés. L’architecture SPARC est très souvent visée, montrant là encore l’ancienneté des fichiers récupérés.
Selon Ars Technica, on trouve en outre quelques outils plus spécifiques, notamment pour des opérateurs télécoms, afin de s’infiltrer dans les réseaux GSM en cassant le chiffrement DES, obsolète depuis longtemps (AES a pris la relève en 2001).
Une action dirigée contre Donald Trump
Si on pouvait penser initialement que les Shadow Brokers se débarrassaient d’une clé qu’ils n’arrivaient finalement pas à vendre, il n’en est rien, du moins selon eux.
La clé est en effet accompagnée d’une longue diatribe contre Donald Trump, reprochant au président américain d’avoir trahi « sa base », autrement dit son électorat. Les Shadow Brokers ont tenu plusieurs fois par le passé des discours au doux parfum de suprématie blanche et semblent ne pas apprécier certaines actions de Trump, notamment la récente frappe en Syrie et, curieusement, la suppression de l’Obama Care.
Les Shadow Brokers sont-ils russes ?
La question de l’identité se pose également toujours. Dans leur billet sur Medium, les Shadow Brokers se défendent d’être russes, ou même proches de Poutine. Selon eux, il n’y a aucune raison que les États-Unis et la Russie soient ennemis, puisque les deux pays partagent actuellement une même vision nationaliste et isolationniste.
Des explications qui ne convainquent pas tout le monde. Jake Williams, président de la société de sécurité Rendition Infosec, indique par exemple que la diffusion de la clé survient au moment même où la Russie menace de répercussions suite à l’attaque en Syrie. Pour l’expert James Bamford au contraire, si la Russie avait dérobé ces données, les diffuser de cette manière n’aurait « aucun sens ».
L’archive n’est pas nécessairement complète
En l’état actuel des choses, l’archive de 300 Mo ne révèle finalement que peu de danger. Son intérêt est probablement ailleurs, dans les informations sur les attaques passées et donc sur les cibles qui ont intéressé la NSA. Tout semble indiquer qu’il s’agissait d’opérations ciblées, pour établir une surveillance au long cours ou récupérer ponctuellement des informations.
Les premières publications des Shadow Brokers étaient donc beaucoup plus importantes, puisqu’elles étaient liées à des informations directement exploitables. Il est possible toutefois que les pirates n’aient pas donné tout ce qu’ils avaient en réserve. Si tel est le cas, nul doute qu’ils communiqueront encore dans les mois qui viennent.
Commentaires (5)
#1
Clinton aurait été élue (ou n’importe qui d’autre en fait), ils auraient aboutis à la même conclusion : quand on n’arrive pas à vendre sa marchandise (volée dans ce cas), soit on la donne soit on la jette. Encore des boutonneux(-neu).
En passant, je note que le mot « Trump » est encore une fois dans un titre : l’audience se fabrique avec pas grand chose de nos jours.
#2
En cas de doute, un hacker est toujours Russe.
#3
#4
Les Shadow Brokers sont-ils russes ?
Cette polémique ressemble rudement à une technique de contre-feu.
#5
Et les fautes de conjugaison du billet ne sont pas consistantes