Ceux qui avaient des choses à vendre

Ils s'appellent les Shadow Brokers et prétendent avoir piraté la NSA. Et effectivement, ils ont des choses intéressantes dans leur besace.

mars 02, 2025

Bonjour,

Il m’arrive parfois d’être approché par des individus douteux qui cherchent à booster leur notoriété. De telles sources pourraient être intéressantes pour un journaliste, sauf que généralement il n’y a pas grand chose de vérifiable, et donc rien à écrire. Mais parfois, c’est l’inverse. Et cela ouvre la voie à des histoires à n’en plus finir malgré une dose énorme d’incertitudes, comme on va le voir avec ce nouvel épisode. Avant de passer à la suite, pour rappel, vous pouvez vous abonner directement ici à cette newsletter sur le cybercrime si ce n’est pas encore le cas.

Le samedi 13 août 2016, un mystérieux compte, “The Shadow Brokers”, les courtiers de l’ombre en VF, commence à attirer l’attention sur le réseau social Twitter avec un drôle de message. C’est un simple lien vers Pastebin, ce site où on peut partager des bouts de texte ou de code informatique. A l'origine, c'est un outil pratique pour les développeurs qui souhaitent travailler à plusieurs, mais il a été largement détourné par des pirates de tout poil, par exemple pour publier des doxx, cette façon de divulguer des informations personnelles sur une personne.

Ce message d’une centaine de lignes est signé par une clé PGP, qui permet d'attester l’identité de son émetteur. Il a pour objet “Equation Group - Cyber Weapons Auction”. Une véritable bombe ! Le "groupe Equation" fait en effet référence au nom donné en 2015 par Kaspersky à un attaquant d’élite cyber. Si l’éditeur russe ne dit pas qu’il s’agit de la très puissante National Security Agency, cette administration américaine spécialisée dans le renseignement et l’informatique (une sorte de mix entre l’Anssi et la direction technique de la DGSE), tout le monde l’entend ainsi.

Le mystérieux message publié sur Pastebin.

Donc dans ce Pastebin - le message est également publié sur un tumblr -, les mystérieux "Shadow Brokers" prétendent mettre aux enchères les armes cyber de l’unité la plus avancée dans le monde. “Nous avons hacké le groupe Equation”, “nous avons trouvé de nombreuses armes”, écrivent-ils dans un anglais plutôt approximatif, avant de glisser quelques liens de photos et environ 300 Mo fichiers faisant office de preuves.

Si des acheteurs sont intéressés, il suffira de faire une enchère. Le plus offrant remportera la mise après l’envoi des fonds à une adresse bitcoin. Mais on peut également envoyer des bitcoin, si on en a envie. Et si le total des fonds récoltés monte à un million de bitcoin, à l’époque environ 568 millions de dollars, les pirates promettent de publier leur trésor gratuitement pour tous.

Au premier abord, personne ne prend au sérieux leur histoire de vente aux enchères matinée de revendications militantes à l'égard des "élites fortunées". “Elle est faite pour distraire, c’est une absurdité totale”, analyse le chercheur en sécurité informatique Nicholas Weaver. Mais je vous rappelle qu’il y a quelques années, on aurait ri de l’éventualité d’une réélection de Donald Trump suivie d’une grâce de TOUS les condamnés de l’émeute du Capitole et d’un pardon présidentiel à l’ancien patron du site illégal numéro un de la vente de stupéfiants (liste non exhaustive).

D’ailleurs, la revendication n’est pas si loufoque qu’elle en a l’air. Car dans l'archive de 300 Mo proposés en guise "d'échantillon gratuit", il y a des scripts d'installation, des configurations pour des serveurs de commande et de contrôle et des exploits ciblant des routeurs et des pare-feu. Bref, un véritable arsenal numérique de haut vol. “Le fichier contient des binaires non compilés pour un système sophistiqué de diffusion de programmes malveillants, le produit de mois, voire d'années de travail de sécurité offensif soutenu”, remarque The Verge.

Des chercheurs en sécurité épluchent les fichiers divulgués. Leurs analyses confirment que l’histoire est explosive. Le chercheur Mustafa Al-Bassam recense quinze exploits, ces techniques d’attaque dont le mécanisme a été validé, une trentaine de petits programmes pour contourner des logiciels de sécurité et une douzaine de différents outils pour diffuser ou améliorer ses malwares. “Les failles semblent cibler les pare-feux Cisco, Juniper, Fortigate”, et elles marchent, atteste la chercheuse “Xorcat”, qui en a testé une avec succès dans son labo, “Extrabacon”.

On retrouve également, signale Vice, des noms déjà vus dans les documents dévoilés par Edward Snowden, comme “BANANAGLEE” ou “EPICBANANA”. “Les fichiers semblent assez légitimes, ils correspondent exactement au type d’exploits que l’on s’attendrait à voir déployés et utilisés par un groupe ciblant les infrastructures de communication”, remarque le chercheur en sécurité The Grugq.

Kaspersky met aussi ses chercheurs sur le coup. Premier constat, les fichiers ne sont pas récents. Ils datent d’au moins trois ans : l’horodatage du fichier le plus récent date en effet d’octobre 2013. En regardant sous le capot des exploits dévoilés, les spécialistes de l’éditeur d’antivirus retrouvent des façons de faire qu’ils avaient déjà vu en se penchant sur le groupe Equation. L’entreprise identifie par exemple l'utilisation d'algorithmes de chiffrement modifiés, différents de ceux disponibles publiquement.

Une implémentation particulière que Kaspersky n’a vu que dans l'analyse des outils attribués au groupe Equation. “Il existe plus de 300 fichiers dans les archives des Shadow Brokers qui implémentent cette variante spécifique, les chances que tous ces fichiers soient falsifiés ou conçus sont très faibles”, résument les troupes d’Eugène Kaspersky. D'anciens experts en piratage de la NSA sont du même avis, et le confirment auprès du Washington Post. “Ce qui est clair, c'est qu'il s'agit d'outils de piratage hautement sophistiqués et authentiques”, déclare ainsi l'ancien analyste de la NSA Oren Falkowitz.

Thanks for reading Pwned! This post is public so feel free to share it.

Ok, ce sont donc bien des vraies failles, des armes cyber vraisemblablement issues de l’arsenal de la NSA. L'agence ne confirmera jamais officiellement, mais la communauté des experts s'accorde sur ce point. Après de telles révélations, il est évident que cette administration a forcément dû refaire un check-up complet de toute son informatique pour tenter d’identifier l’origine de cette fuite gravissime.

Reste en effet pas mal de questions. D'où sortent ces données? Il pourrait s’agir d’un piratage, et ce serait un coup de maître. Ou serait-ce le résultat d’une erreur de gestion, une sorte de fuite non maîtrisée ? Etpourquoi les Shadow Brokers se privent ils aujourd’hui de telles armes ? Si elles étaient en leur possession depuis environ trois ans, pourquoi en effet les offrir ainsi au premier venu? Enfin, s’ils ont vraiment piraté la NSA, pourquoi risquer après ces révélations de perdre leurs précieux accès?

On en reparle la semaine prochaine,

Bonne soirée,

Gabriel

Relecture: Mnyo

PS: L’histoire vous a plu? Pour me payer un café, c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).

Sources

The Shadow Brokers hack is starting to look like Russia vs. NSA

Equation Group - Cyber Weapons Auction

Equation Group: The Crown Creator of Cyber-Espionage

How “omnipotent” hackers tied to NSA hid for 14 years—and were found at last

Hackers Say They Hacked NSA-Linked Group, Want 1 Million Bitcoins to Share More

Equation Group firewall operations catalogue