Pwned

Pwned

Share this post

Pwned
Pwned
Celui qui a contacté Kaspersky
Copier le lien
Facebook
Email
Notes
Plus

Celui qui a contacté Kaspersky

Où l’on découvre que l’entreprise russe est contactée sur Twitter par un drôle de bonhomme.

Avatar de Gabriel Thierry
Gabriel Thierry
mars 09, 2025

Share this post

Pwned
Pwned
Celui qui a contacté Kaspersky
Copier le lien
Facebook
Email
Notes
Plus
Partager

Bonjour,

Bienvenue pour la suite de cet épisode sur les Shadow Brokers. Aujourd’hui, nous allons nous pencher sur le premier suspect mis en cause dans cette affaire de fuite de l’arsenal de la NSA, l’agence chargée du renseignement technique aux Etats-Unis. Mais avant toute chose, petit rappel, vous pouvez vous abonner à la newsletter avec ce formulaire si ce n’est pas encore le cas.

Thanks for reading Pwned! Subscribe for free to receive new posts and support my work.

Donc souvenez-vous, en août 2016, il y a cette fuite gravissime pour la NSA d’une partie de son arsenal cyber, divulguée par un mystérieux groupe du nom de Shadow Brokers. A la mi-novembre 2017, le New-York Times fait le point sur cette affaire d’Etat. La fuite est considérée comme plus grave que les révélations Snowden de 2013. Pourquoi? Parce que contrairement aux Shadow Brokers, le lanceur d’alerte n’avait pas dévoilé des armes proprement dites, mais essentiellement des documents internes détaillant les activités de la NSA.

La nouvelle fuite contient elle des programmes malveillants, qui mettent tout le monde en danger, en témoigne le désastre WannaCry. “Les responsables américains ont dû expliquer à leurs proches alliés – et aux chefs d’entreprise américains – comment les cyberarmes développées à Fort Meade, dans le Maryland, ont été utilisées contre eux”, résument des journalistes new-yorkais.

Depuis Moscou, Edward Snowden a d'ailleurs sa petite idée sur l’identité des Shadow Brokers. Cette fuite de données a comme un air de message venu de la Russie. “Je soupçonne qu'il s'agit plus de diplomatie que de renseignement”, commente le lanceur d’alerte, en reliant l’incident à la polémique autour du piratage du comité démocrate en 2016. Une affaire où les troupes de Poutine étaient déjà mises en cause. Pour Edward Snowden, la nouvelle fuite pourrait n’être donc qu’un contre-feu.

Quoiqu’il en soit, considéré comme potentiellement compromis, une partie de l’arsenal informatique de la NSA doit être remplacée. Même si la très secrète agence le dément, on peut penser que tout cela a pesé sur le moral des troupes. Son service de contre-espionnage, aidé du FBI, a dû lancer une vaste enquête, avec toujours le risque d’une erreur. Mais la fuite est trop importante pour que les autorités américaines ne cherchent pas les responsables. Quitte à jeter la suspicion sur tout le monde.

Intéressons nous au premier profil qui a tapé dans l’oeil des enquêteurs. Fin août 2016, environ deux semaines après les premiers messages des Shadow Brokers, le FBI s’invite dans la maison d’un certain Harold T. Martin III, dans le Maryland. Ce vétéran de la Marine américaine est pourtant un véritable “patriote” selon son ex-femme. Quinquagénaire et adepte du télétravail - non, Elon Musk, ce n’est pas un crime -, Martin III, alors doctorant en informatique, avait bossé via la firme Booz Allen Hamilton pour la NSA puis le Pentagone.

Véritable patriote ou non, la moisson est bonne : les enquêteurs découvrent chez lui des tonnes de données ultra sensibles, dans sa maison, sa voiture et même sa cabane de jardin. Elles viennent de la NSA. On sait par exemple qu’il stockait chez lui des rapports, le guide d’un outil, ou encore des briefings. Il y a également des documents du commandement cyber américain et de la CIA.

“Disons simplement que c’est un psychopathe qui garde [ce genre de documents classifiés] avec ses vieux numéros du National Geographic et sa collection de boîtes repas”, glissait de façon imagée un cadre de l’administration américaine au New-York Times. Est-ce la taupe qui a fourni des documents ou des accès au Shadow Brokers? Les Américains semblent le penser, et ils ne sont pas les seuls. Car, aussi incroyable que cela puisse paraître, leur enquête doit tout à un tuyau fourni… par les Russes, pas encore les meilleurs amis de Donald Trump, de Kaspersky.

Rembobinons la cassette pour bien comprendre l’enchaînement des événements. Comme le dévoile Kim Zetter dans “Politico”, tout commence le 13 août 2016. Un compte Twitter suspect, “HAL999999999”, va envoyer plusieurs messages, en privé, sur le réseau social, à deux chercheurs de l’entreprise d’antivirus russe.

Le premier message est assez énigmatique et semble proposer une rencontre avec le patron de la firme russe, Eugene Kaspersky. Le second laisse entendre que l'offre a une date de péremption de trois semaines (Shelf life, three weeks), comme s’il y avait une urgence autour de la prise de contact. Le tout est envoyé une trentaine de minutes avant la divulgation de l’arsenal cyber américain par le groupe des Shadow Brokers !

Drôle de coïncidence. Encore plus étonnante quand les chercheurs de Kaspersky s’aperçoivent d’un clin d’oeil troublant : la photo de profil du mystérieux compte Twitter montre la silhouette d’un homme, le dos tourné, et un CD-ROM où l’on peut lire TAO2, visiblement une référence à l'unité "Tailored Access Operations" de la NSA, son service de pirates informatiques. Ce sont précisément les outils de ce service que les Shadow Brokers ont mis aux enchères.

Le chercheur de Kaspersky répond trois jours plus tard : il n’avait pas vu le message privé, classé automatiquement dans un répertoire séparé quand ce n’est pas un utilisateur que l’on suit. Prudent, il demande une adresse mail et une clé PGP pour communiquer de façon sécurisée. La réaction de son correspondant est étonnante : ce dernier le bloque. Deux jours plus tard, le même HAL999999999 envoie une nouvelle série de trois messages cryptiques, le dernier faisant référence au film “Inception”.

L’internaute intrigue les chercheurs de Kaspersky. Qui est ce mystérieux et déroutant personnage? Eh bien, une simple recherche Google va leur permettre d’en savoir beaucoup sur lui. Il y a par exemple quelqu’un qui a le même nom d’utilisateur sur un site dédié aux amateurs de bondage et de sado-masochisme. Avec sa photo, son âge et sa localisation, dans le Maryland. Les Russes remontent également jusqu'à un autre profil sur LinkedIn, celui d’un homme indiquant être contractuel dans la sécurité informatique offensive (en clair le piratage).

Thanks for reading Pwned! This post is public so feel free to share it.

Partager

La prise de contact est brûlante pour les chercheurs de Kaspersky. S’il s’agit de la source des Shadow Brokers, ils risquent bien des ennuis. Comme le rappelle Kim Zetter, à l’époque l’entreprise russe est déjà dans le collimateur des autorités américaines, qui la soupçonnent d'espionnage. La firme a pu y voir une forme de test. Assez sagement, ils font donc passer l’info le 22 août à la NSA. Trois jours plus tard, le FBI arrive à identifier l’adresse email associée au compte Twitter, addresshmartin999@gmail.com, et à faire le lien, grâce notamment à son adresse IP, avec notre Harold T. Martin III du Maryland. Ce n’est toutefois pas la fin de l’histoire - à la fois pour les Shadow Brokers, mais aussi pour Kaspersky.

A la semaine prochaine pour la suite de cette histoire,

Bonne journée,

Gabriel

Relecture: Mnyo

PS: L’histoire vous a plu? Pour me payer un café, c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).

Sources

Security Breach and Spilled Secrets Have Shaken the N.S.A. to Its Core

N.S.A. Suspect Is a Hoarder. But a Leaker? Investigators Aren’t Sure.

Exclusive: How a Russian firm helped catch an alleged NSA data thief

Share this post

Pwned
Pwned
Celui qui a contacté Kaspersky
Copier le lien
Facebook
Email
Notes
Plus
Partager

Discussion à propos de ce post

Avatar de User

Aucun post

Tout à fait prêt. Qu'avez-vous pour moi ?

© 2025 Gabriel Thierry
Confidentialité ∙ Conditions ∙ Avis de collecte
ÉcrireObtenir l’app
Substack est le foyer de la grande culture

Partager

Copier le lien
Facebook
Email
Notes
Plus