Les Shadow Brokers sont de retour, et n’ont aucune intention de se faire oublier. Les responsables de la fuite de fichiers qui ont permis l’émergence de WannaCrypt annoncent qu’ils publieront chaque mois de nouvelles informations, en allant particulièrement loin.
On ne sait pas qui sont les pirates du groupe Shadow Brokers. Ils se sont fait connaître en août de l’année dernière en annonçant avoir dérobé tout un lot d’outils et de failles à Equation Group, proche de la NSA (considéré en fait comme faisant partie intégrante de l’agence américaine).
Depuis, les Shadow Brokers sont revenus plusieurs fois sous les feux des projecteurs, particulièrement pour s’en prendre à Donald Trump et sa politique, qu’ils souhaiteraient voir se rapprocher davantage de la Russie. Après avoir fourni en avril des informations qui n’étaient plus de prime fraicheur, ils reviennent une semaine plus tard avec des données beaucoup plus sensibles, notamment sur le malware DoublePulsar, l’une des bases de l’actuel ransomware WannaCrypt, ainsi que sur un lot de failles, dont l’une est actuellement exploitée (EternalBlue).
Ils ne souhaitent manifestement pas qu’on les oublie et ont décidé de proposer… un abonnement mensuel.
Une formule mensuelle pour des informations fraiches
Dans un nouveau communiqué à l’anglais toujours aussi approximatif dans ses tournures, le groupe expose une curieuse philosophie. Ils vont ainsi proposer des informations à la vente. Si personne n’est intéressé, il n’y aura aucun problème de sécurité. Ils semblent particulièrement frustrés de ne pas avoir été pris au sérieux précédemment et ont bien l’intention de remédier à ce « problème ».
Dans leur version toute personnelle des clubs permettant de recevoir tous les mois de nouvelles bouteilles de vin, les pirates proposent donc de s’abonner pour recevoir régulièrement des informations fraiches : exploitations de failles dans les navigateurs, routeurs, smartphones et systèmes d’exploitation, données émanant de banques et de fournisseurs de services SWIFT, informations volées aux réseaux internes de la Russie, de la Chine et de l’Iran, et jusqu’à des données issues… du programme nucléaire nord-coréen.
Un abonnement ouvert à tous
Les pirates ont visiblement changé de technique. On se rappelle qu’initialement, les données dérobées à Equation Group devaient être vendues aux enchères. L’ensemble frôlait le million de dollars, mais personne n’a finalement été intéressé. De frustration, ils avaient fini par donner la clé de l’archive en signe de protestation contre Trump.
Le fonctionnement de l’offre est donc clair : tous ceux qui paieront l’abonnement – le tarif est inconnu – recevront les informations, qui que soient les acheteurs. On peut se demander d’ailleurs si d’autres groupes de pirates auront envie d’investir s’ils doivent se retrouver sur un pied d’égalité et donc en concurrence. Les failles de sécurité 0-day (déjà exploitées quand elles sont révélées à leurs éditeurs respectifs) sont une denrée précieuse dont le trafic nuit largement aux utilisateurs. Là encore, s’il fallait une piqure de rappel, le cas de WannaCrypt illustre parfaitement la situation.
Les Shadow Brokers s’en prennent aux gouvernements et grosses entreprises
Rien ne semble trouver grâce aux yeux des pirates. Ils critiquent particulièrement le gouvernement américain dont la politique de sécurité produit exactement le résultat inverse.
Les pirates vont jusqu’à l’accuser en fait d’avoir des espions et agents au sein-même des grandes entreprises américaines, notamment chez Microsoft. Il ferait ainsi un véritable travail de sape en leur demandant de ne pas corriger certaines failles, afin qu’elles puissent continuer à être exploitées au cours des missions.
Ils en tiennent pour preuve les informations révélées en avril. Microsoft avait rapidement réagi pour indiquer que la quasi-totalité de ces failles avait déjà été corrigée lors du Patch Tuesday de mars. Signe pour les pirates d’une communication malsaine. Une explication plausible est plutôt que la NSA, sachant que ces informations étaient sur le point d’être révélées et ne pouvant rien y faire, aurait averti Microsoft pour limiter les dégâts. Au vu des dégâts provoqués par WannaCrypt, on se rend bien compte que même deux mois ne sont pas suffisants.
Même le programme Project Zero de Google ne trouve pas grâce aux yeux des Shadow Brokers. Il n’y aurait ainsi aucune coïncidence entre les informations données par le chercheur Tavis Ormandy sur une faille dans Windows Defender et la correction extrêmement rapide faite par Microsoft. À vrai dire, on ne sait pas bien où les pirates veulent en venir. Ils se montrent toutefois beaucoup plus clairs en indiquant qu’un authentique membre d’Equation Group travaille dans le Project Zero.
L’annonce doit-elle être prise au sérieux ?
C’est la grande question. Car en dépit d’un style quelque peu loufoque dans la présentation et des annonces grandiloquentes, les Shadow Brokers ont prouvé à chaque fois leurs dires et joint le geste à la parole.
S’ils mettent leur plan à exécution, alors la première archive mensuelle sera fournie en juin. Rien ce mois-ci, les pirates indiquant qu’ils « mangent du popcorn » en profitant du spectacle offert par WannaCrypt. Et d’annoncer d’ailleurs dans la foulée que « selon l’oracle », c’est bien la Corée du Nord qui serait derrière cette attaque. Des propos que ne viennent étayer évidemment aucun complément d’information.
Il y a dans tous les cas de fortes chances que les pirates mettent leur plan à exécution, ce qui pourrait provoquer de nouvelles catastrophes. D’autant que cette fois, on ne sait pas d’où viennent réellement ces informations. Dans le cas d’Equation Group, la NSA pouvait avoir en effet une idée très précise de ce qui allait être diffusé. Cette fois, les données pourraient bien être plus surprenantes, d’autant que les Shadow Brokers insistent sur la fraicheur des informations, précisant au passage que Windows 10 est concerné.
Il est probable qu’un grand nombre d’acteurs se tiennent maintenant sur leurs gardes. Malheureusement, il est tout aussi probable qu’il faudra attendre le mois prochain pour savoir de quoi il retourne. Les pirates communiqueront sans doute à nouveau, ne serait-ce que pour donner le tarif et la marche à suivre.
Commentaires (57)
#1
Avec le nombre d’articles sur le sujet, on en arrive à rire des illustrations.
Sur un tel sujet, qui le résoud depuis sa salle machine plutôt que son poste de travail plus comfortable?
Lumière bleue en présence de personne dans la salle? Dans toutes celles que j’ai pu visiter, c’est de la lumière blanche. On y voit rien en bleu comme cela si on fait tomber une vis… et croyez-moi, on en fait tomber!
Ca serait sympa d’arrêter d’alimenter les clichés véhiculés par la presse ignare vis à vis de notre métier. On vaut tous ici mieux que cela :)
#2
ou alors, tu prends ta photo avec un réglage “balance de blanc tungstène” et paf, toute lumière blanche devient bleue.
#3
Le fonctionnement de l’offre est donc clair : tous ceux qui paieront l’abonnement – le tarif est inconnu – recevront les informations, qui que soient les acheteurs.
Si c’est 4 balles par mois, je bascule mon abo NxI
#4
Ce qui est pratique avec ce genre de clichés c’est que c’est plus évocateur que la réalité d’un individu lambda dans un bureau lambda.
#5
Je propose cette image pour le prochain article :
http://www.cimg.in/images/2017/03/31/27/141869802_14909434351_large.jpg
#6
Plus le temps passe, plus je déteste les black hats…
#7
#8
#9
#10
#11
Raah, encore un abonnement de plus ! 
" />
#12
+1, c’est grâce à eux que les gens commencent à prendre conscience de l’importance d’une bonne hygiène informatique, et que l’infosec ne fait plus juste soupirer le département finance.
#13
Hé bien, qui l’eut cru ? :)
L’idée, c’était de transmettre une notion de désespoir et de panique en vue de tous les problèmes qui pourraient découler. Nous ne sommes pas “ignares”, nous ne véhiculons pas de “clichés”, et pour avoir été moi-même administrateur, je sais que l’immense majorité des réglages ne se fait dans une salle high-tech façon 24h Chrono. C’était simplement une évocation des crises potentielles à venir ;)
#14
Ok c’est bien mais qu’en est il des dommages collatéraux chez Mme Dupond et M Durand qui n’ont rien demandé
Ou Mamy Michelle qui a perdu toutes les photos de ses petits enfants …
Ne va pas dire que eux devrait connaitre (toutes) les règles de bonne hygiène informatique?
Autant je suis d’accord que cela fait bouger les choses, autant les méthodes sont parfois…trop violentes
Pour une entreprise? Oui bon ils devraient être au fait de ses problèmes (mais pense t’on réellement aux implications que peut avoir ce genre de chose sur le quotidien des salariés qui n’ont eux RIEN demandé)
Donc oui montrer qu’il y a faille c’est bien.
Géner un peu, c’est déjà moyen
Détruire, c’est trop radical
#15
Ils faut que ton image soit libre de droit … ou que NXI ai une licence d’utilisation. Pas si facile de trouver des images de bonne qualité en quantité suffisante pour illustrer toutes les news
#16
Dump Monday, Patch Tuesday
Je dump le lundi
Je patch le mardi
Je troll le mercredi
Et les autres jours aussi
#17
#18
#19
“Rien ce mois-ci, les pirates indiquant qu’ils « mangent du popcorn » en profitant du spectacle offert par WannaCrypt”
Vous m’en gardez un peu??
Je comprends que les blacks-hats soient détestés, mais les “gentils flics” (alias grey ou white-hats) n’arrivent pas à faire comprendre certains préceptes. Alors le “méchant flic” agit et toute de suite la leçon passe mieux (mais douloureusement).
Je dirais que Mme Michu est aussi fautive (indirectement). Depuis les années 2000, les informaticiens disent qu’ils faut des cours sérieux à l’informatique (qui ne se résumerait pas à savoir lancer word et manipuler IE6), voir qu’il faudrait une filière informatique pour augmenter dans la population les gens comprennent les enjeux.
Résultat, le numérique est géré par Bercy ou le ministère de la culture. On le résume à son aspect financier, jamais on l’étend à ses dimensions sociétales.
La population échoue pour avoir du mieux sur le numérique, une formation conséquente de la population sur ces notions, d’où les problèmes que pose la NSA & Co.
Et je doute que Macron n’ait autre chose qu’une vision financière du numérique.
#20
#21
#22
Les pirates vont jusqu’à l’accuser en fait d’avoir des espions et agents
au sein-même des grandes entreprises américaines, notamment chez
Microsoft. Il ferait ainsi un véritable travail de sape en leur
demandant de ne pas corriger certaines failles, afin qu’elles puissent
continuer à être exploitées au cours des missions.
Tu parles d’un scoop…
#23
Je paierai pas deux balles pour de l’anglais à trois balles. Sérieux, ils peuvent pas prendre des cours d’anglais, les Shadow Brokers ? J’ai beau être nul en anglais, ça écorche la rétine de lire leur bidule.
Ce qui m’étonne, c’est qu’il y a quand même des russes qui parlent bien anglais ; étonnant qu’ils n’en aient pas trouvé au moins un pour écrire leur communiqué. Ou alors le gars est tout seul. Ou il est pas russe. Allez savoir.
#24
Ouais, enfin toute l’affaire WannaCry a été manigancée par NSA+Microsoft pour pousser les gens à activer l’installation automatique des patchs de télémétrie/spyware.
" />
#AltFacts
#25
Si tu t’intéresse un peu au fonctionnement du worm qui porte Wncry, tu te rends compte que madame Michu derrière son petit NAT ne craint pas grand chose.
Il y a sûrement quelques novices qui se sont fait owned mais ça reste majoritairement du serveur en IP publique sans la MAJ de mars
#26
+1
" /> j’ai lu 2 lignes et j’ai fermé, trop de sang qui coule de mes yeux 
" />
#27
Comme le défibrilateur pour faire repartir un coeur qui ne bat plus du tout dans Grey’s Anatomy ? :)
C’est sur que c’est plus évocateur mais ça n’éduque pas beaucoup les gens :(
#28
C’est bien parce que vous n’êtes pas ignares que je me permet de faire ce commentaire.
" />
Je redirige pas mal d’amis/famille/collègues sur NextInpact pour les éduquer. Et là on retrouve une photo digne du Figaro (bon, c’est souvent sur les autres articles le cas mais l’accumulation m’a fait réagir).
Mon souci est que quand on récupère un stagiaire ou on discute avec des gens pour les pousser à venir vers l’informatique, ils croient qu’on bosse dans un environnement super high tech et sont déçu par la suite du boulot proposé quand au final, ça n’a rien du rêve vendu par les films, les séries ou les articles de presse, même spécialisée du coup.
Une photo d’un écran avec un % du parc infecté avec qqun qui se tient la tête pareil aurait été parfaite ;) Mais désolé, je ne bosse pas chez Renault, je ne peux pas fournir une telle image
#29
#30
#31
Ou des nord-coréens
" />
#32
#33
Ben, ils le font déjà avec l’autisme, pourtant, en France tlm s’en bats les rouleaux…
#34
#35
La dernière mise à jour Open Office m’a protégé de l’infection.
#36
#37
#38
#39
Nouvelle mode, se balader avec un chapeau pointu de couleur noir ou gris.
" />
#40
Flemme de répéter, Aytine et d’autres ont déjà très bien exprimé le fond de ma pensée là dessus : )
#41
[mode Troll ON ]
Et le SIDA ; Il vient d’où d’après toi ?
La CIA voulait faire la nique aux Homox, mais on oublié que dans le lot il y en avait qui étaient bi ou mieux encore étaient des bons citoyens qui donnaieant leur sang, par exemple …
[mode Troll Off]
#42
#43
#44
#45
#46
#47
sauf si tu as des actions dans le laboratoire qui produit le vaccin et/ou médicament
" /> et qu’en plus tu veux voir le monde se déchirer
" />
mais je crois qu’on s’éloigne un peu la
#48
C’est comme ça que j’écris mes actus 
" />
#49
#50
Je suis pas fortiche en anglais, mais je suis d’accord, c’est une prose imbit… heu, imbuvable. Et je ne comprends pas comment la NSA ou autre agence n’est pas capable de les retrouver ? Ou alors ça les arrangent.
#51
Imbitable est un terme correct.
#52
Il faut passer à l’Esperanto, c’est plus facile à apprendre et réellement international.
#53
Au pire, la NSA peut payer l’abonnement et dire à Microsoft/Google/Apple quelles failles boucher ou non, selon ce qui est utilisé par les groupes malveillants et ce que eux utilisent pour espionner la population.
#54
Merci pour tous ces articles pertinents
#55
Et pourquoi pas en solresol ?
#56
Les commentaires sur cette page expliquent pourquoi l’Esperanto est très intéressant :
http://sametmax.com/les-causes-perdues-de-la-linguistiques/
#57
Il y a probablement plus d’espérantistes que de volapükistes, mais je ne suis pas sur que les latinistes ne soient pas encore les plus nombreux.