Fuite d'outils des hackers de la NSA ? Les Shadow Brokers ne sont pas des guignols

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Fuite d'outils des hackers de la NSA ? Les Shadow Brokers ne sont pas des guignols

Publié le 18 août 2016 à 11:40 par Jérôme G.

Lire sur mobile

Il va falloir prendre The Shadow Bokers au sérieux. Les indices d'une fuite de données en rapport avec les outils des hackers d'élite de la NSA s'accumulent, accréditant la thèse d'une intrusion dans les serveurs de l'agence américaine de renseignement.

Ce week-end, un groupe de hackers jusqu'alors inconnu a fait parler de lui en affirmant avoir mis la main sur des outils de cyberespionnage utilisés par le groupe Equation qui serait affilié à la NSA. The Shadow Brokers a organisé une curieuse mise aux enchères de ces exploits, avec la promesse de publier tous leurs fichiers en clair s'ils parviennent à lever… un million de bitcoins !

NSA Pour le moment, le total de la somme récoltée est - évidemment - très loin du compte. Un peu moins d'une trentaine de transactions pour un total de 1,72 bitcoin. Reste que grâce à la partie gratuite des fichiers mis en ligne (déchiffrable avec le mot de passe " Theequationgroup "), les indices pointent de plus en plus vers une fuite de données sérieuse.

L'année dernière, Kaspersky Lab avait mis au jour l'existence du groupe Equation spécialisé dans des attaques de cyberespionnage commanditées par des États. Le lien avec la NSA n'avait pas été écrit noir sur blanc mais il est très fortement suspecté. L'éditeur russe confirme une connexion entre les outils de hacking fuités et des exploits du groupe Equation.

Cette connexion a été établie sur la base de l'analyse d'un recours et de l'implémentation des algorithmes de chiffrement RC5 et RC6 dans les fichiers proposés gratuitement par The Shadow Brokers et dans d'autres connus pour appartenir au groupe Equation.

The Shadow Brokers a par ailleurs publié des exploits pour des produits vendus par Cisco. Dans un avis de sécurité, l'équipementier américain spécialisé dans les réseaux évoque un exploit pour une vulnérabilité qui a été divulgué publiquement par le groupe Shadow Brokers et pour le lequel il n'y a pas encore de correctif en bonne et due forme (seulement des mesures de contournement).

Il est ainsi fait référence à une vulnérabilité de type exécution de code à distance au niveau de l'implémentation de SNMP (Simple Network Management Protocol) dans le code de son appliance Adaptive Security Appliance (ASA) utilisée avec ses pare-feu. Les produits affectés sont listés ici. Un autre avis de sécurité concerne un autre exploit divulgué par The Shadow Brokers mais la vulnérabilité ciblée a été comblée depuis plusieurs années.

Tout ceci tend à démontrer que The Shadow Brokers est un groupe à prendre au sérieux, alors que la NSA n'a pas fait de commentaires au sujet d'une compromission en son sein. Dans ce tumulte, Edward Snowden émet l'hypothèse qu'il pourrait s'agir d'un coup de semonce d'un État… la Russie ?