La NSA dans le viseur des «Shadow Brokers»

Un mystérieux collectif a publié des logiciels espions émanant apparemment de l’agence américaine et promet encore plus de secrets via une enchère douteuse. Le tout sur fond de tensions entre Moscou et Washington à l’approche de la présidentielle aux Etats-Unis.

«Attention, sponsors gouvernementaux de la cyberguerre et ceux qui en profitent !!!» Ainsi commence le texte, rédigé dans un anglais plus qu’approximatif, apparu le samedi 13 août sur la plateforme d’hébergement de code informatique GitHub et sur le site de partage de textes Pastebin. Le message est signé d’un groupe jusqu’ici inconnu, les «Shadow Brokers» - référence à un personnage du jeu vidéo Mass Effect 2. Le mystérieux collectif prétend être entré en possession de «cyberarmes» utilisées par un autre groupe de hackers, l’«Equation Group», et les avoir déposées dans une archive mise en ligne sur plusieurs sites d’hébergement de fichiers. L’archive contient deux dossiers, tous deux chiffrés. Dans leur message, les Shadow Brokers fournissent le mot de passe du premier dossier. Et ils annoncent mettre aux enchères celui qui permet de déchiffrer le second : ils publient, à cet effet, une adresse bitcoin, la fameuse monnaie cryptographique et décentralisée lancée en 2009. Lundi, le texte se retrouve aussi sur la plateforme de microblogging Tumblr (la page a depuis été supprimée, de même que le compte GitHub). L’information se propage. L’affaire fait grand bruit sur Twitter et sur les sites d’information américains. Et pour cause : «Equation», c’est ainsi que l’éditeur d’antivirus Kaspersky a baptisé, en 2015, un groupe de hackers resté sous les radars pendant plus de quinze ans. L’entreprise n’a jamais été jusqu’à rattacher publiquement Equation à une organisation ou à un Etat. Mais le groupe est très fortement suspecté d’être une émanation de la NSA, la puissante Agence nationale de sécurité américaine. Pour plusieurs experts, il est même fort probable qu’il s’agisse de son unité d’élite, la TAO, pour Tailored Access Operations, les «opérations d’accès sur mesure». Au titre des indices : les similitudes entre «Fanny», l’un des programmes découverts par Kaspersky, et Stuxnet, le virus utilisé contre des centrifugeuses iraniennes d’enrichissement d’uranium, découvert en 2010 et attribué au travail conjoint de la NSA et des services israéliens. Ou encore la forte ressemblance entre le logiciel malveillant «GrayFish» et l’un des outils du «catalogue» à disposition de la TAO, révélé en décembre 2013 par l’hebdomadaire allemand Der Spiegel à partir des documents transmis par le lanceur d’alerte Edward Snowden.


L'Equation trouble de la NSA

De quoi attirer l’attention. Ces derniers jours, nombre d’experts en sécurité informatique se sont penchés sur le contenu du dossier rendu accessible par les Shadow Brokers. Pour l’essentiel, il s’agit de logiciels permettant d’exploiter des failles dans des équipements de sécurité des réseaux, des pare-feu fabriqués par trois entreprises américaines, Juniper, Cisco et Fortinet, et par le chinois Topsec. On trouve aussi des scripts d’installation et des fichiers de configuration. Les programmes portent des noms ésotériques : «Epicbanana», «Extrabacon», «Eligiblecontestant», «Egregiousblunder»… L’un d’eux, «Bananaglee», éveille particulièrement la curiosité : son nom était apparu pour la première fois dans le «catalogue» d’outils de la NSA publié par Der Spiegel.

Données authentiques

Pourrait-il s’agir de faux ? Pas totalement impossible, mais peu probable. «Cela semble authentique», juge dans Forbes Claudio Guarnieri, chercheur au Citizen Lab de l’université de Toronto. Auquel cas les données proviennent très certainement d’un acteur gouvernemental, explique à Libération Raphaël Vinot, chercheur en sécurité informatique au Luxembourg : «Une équipe a travaillé sur ces outils pendant quatre ans», de 2009 à octobre 2013, et l’ensemble «donne l’impression qu’il y a des ressources derrière». D’anciens employés de la TAO interrogés par le Washington Post se sont dits convaincus de l’authenticité des fichiers. De leur côté, les chercheurs de Kaspersky ont trouvé des similitudes avec les logiciels malveillants d’Equation qu’ils avaient analysés l’an dernier. La teneur de la «fuite» fait peu de doutes. «Pour le moment, c’est la seule chose sur laquelle tout le monde est d’accord», souligne le Français Matt Suiche, fondateur de la start-up émiratie Comae Technologies.

Car pour le reste, c’est plus compliqué. D’où proviennent les données ? Affirmer que l’infrastructure de la NSA elle-même a été piratée serait aller très vite en besogne. Pour Guarnieri, la cible pourrait plutôt être un serveur dit «C&C», pour Command and Control : une machine intermédiaire, utilisée par un attaquant pour communiquer avec les équipements compromis sans exposer l’origine de l’action. C’est aussi l’avis de Raphaël Vinot, même si, juge ce dernier, il faut rester prudent : «Si les données proviennent d’un serveur C&C, on pourrait aussi y trouver les données des victimes. Si, en revanche, on y trouve les codes sources des programmes, qui n’ont aucune raison de se trouver sur un serveur intermédiaire, cela pourrait venir de l’intérieur.» Dans la partie accessible de l’archive, on ne trouve ni les unes ni les autres. Et les programmes, dont les plus récents datent de 2013, attaquent d’anciennes versions des pare-feu : «Ceux qui ont récupéré les données pourraient avoir perdu leur accès à cette période.»

«Perdu perdu !»

Reste la partie qui a été mise aux enchères, objet de toutes les spéculations. En la matière, le mode opératoire des Shadow Brokers a de quoi laisser songeur : aucun remboursement n’est prévu pour les enchérisseurs qui ne remporteraient pas la mise… «Désolés, perdre guerre des enchères, perdre bitcoin et fichiers. Perdu perdu !» prévient le groupe, qui fait cependant miroiter la promesse, hautement hypothétique, d’un «lot de consolation» collectif : la publication des données au cas où le total des enchères atteindrait… un million de bitcoins, soit quelque 510 millions d’euros. Mercredi en début d’après-midi, le compte n’avait enregistré que quinze transactions, pour une somme cumulée de 1,629 bitcoin (environ 830 euros). L’enchère la plus élevée se monte tout de même à 1,5 bitcoin (765 euros).


Quant à savoir qui se cache derrière les Shadow Brokers, c’est encore une autre histoire… qui fait basculer toute l’affaire dans le roman d’espionnage à fort parfum de nouvelle guerre froide, sur fond de présidentielle américaine. Le mois dernier, des entreprises de cybersécurité, des responsables démocrates et Hillary Clinton elle-même ont accusé le renseignement russe d’être à l’origine du piratage des mails du Comité national démocrate (DNC), publiés par WikiLeaks juste avant la convention de Philadelphie, et qui ont provoqué la fureur des partisans de Bernie Sanders et entraîné la démission de la présidente du parti. Dans ce contexte électrique, Matt Suiche écrivait mardi sur son blog que «compte tenu du calendrier», la «fuite» de ce week-end pourrait «peut-être avoir été orchestré[e] par le gouvernement russe» afin d’influencer l’élection. Encore faudrait-il en apporter la preuve, avertit Guarnieri sur Twitter. Il est vrai qu’attribuer une cyberattaque est un exercice délicat tant, en la matière, fausses pistes et faux-semblants sont de mise.

D’autant que Matt Suiche n’évacue pas, loin s’en faut, l’hypothèse de la piste interne. Dans un nouveau billet de blog, publié ce mercredi, il fait cette fois état d’une conversation avec «un ancien opérateur de la TAO». D’après cette source, explique Suiche à Libération, les outils utilisés par l’unité d’élite de la NSA sont stockés «sur un réseau à part, qui n’est pas connecté à Internet». Or, la structure et le contenu de l’archive mise en ligne laissent à penser qu’elle aurait été copiée à partir du dépôt originel. Et un «insider» aurait pu perdre son accès aux données en 2013 à la suite, par exemple, d’une mutation, ce qui expliquerait qu’il n’y ait pas de données plus récentes. Mais là encore, «ce n’est qu’un scénario possible, écrit-il. La discussion est ouverte.»

Ecran de fumée

Le fait est que les spéculations battent leur plein. Et que la piste russe est aussi celle mise en avant, mardi, par Edward Snowden dans une série de tweets. Au titre de ses activités de contre-espionnage, la NSA «trace et cible des serveurs de programmes malveillants» mis en place par ses adversaires, rappelle-t-il. «Nos rivaux en font autant, poursuit l’ancien consultant, et, ponctuellement, réussissent.» La nouveauté n’est donc pas le revers subi par l’agence américaine, mais bien la publicité donnée à l’événement. Pour Snowden, «les éléments circonstanciels et la sagesse populaire suggèrent une responsabilité russe». Et l’objectif pourrait être de décourager l’escalade géopolitique autour du piratage du Parti démocrate en faisant planer sur l’administration américaine la menace de révélations sur les opérations conduites via la machine d’où proviendraient les données exposées par les Shadow Brokers. Révélations qui pourraient avoir des conséquences fâcheuses si d’aventure «des alliés des Etats-Unis» avaient été ciblés… Dans ce scénario-ci, l’épisode aurait valeur d’avertissement. Et l’étrange mise aux enchères relèverait de l’écran de fumée.


Dans ce théâtre d’ombres numérique, un autre acteur attend de jouer sa partition. Car WikiLeaks est de nouveau dans la boucle : «Nous avions déjà obtenu l’archive d’armes numériques de la NSA révélée plus tôt dans la journée, et nous publierons notre propre copie intacte en temps voulu», a annoncé sur Twitter l’organisation de Julian Assange, dans la nuit de lundi à mardi. De quoi sans doute, dans cette ambiance surchauffée, alimenter les critiques de ses détracteurs qui, plus que jamais depuis la publication des mails du DNC, l’accusent d’épouser l’agenda du Kremlin. De quoi, aussi, laisser augurer quelques informations supplémentaires si la totalité de l’archive venait à être publiée par le site. Car pour l’heure, nombre d’experts insistent sur le peu d’éléments concrets sur lesquels s’appuient les hypothèses. Nul doute que le feuilleton ne fait que commencer.

Source: liberation.fr