Des «cyber-armes» de la NSA sont mises aux enchères sur Internet

Par

Des hackers proposent au plus offrant des fichiers provenant d'un sous-traitant de l'agence américaine, spécialisé dans la fabrication de virus et outils de hacking. Ce nouveau coup dur pour les services américains relance la guerre numérique avec la Russie, qui fait encore figure de suspect.

Cet article est en accès libre. L’information nous protège ! Je m’abonne

La NSA n’avait sans doute pas connu de semaine aussi agitée depuis la publication des premières révélations d’Edward Snowden il y a trois ans. Depuis le samedi 13 août, l’agence doit faire face à une nouvelle fuite potentiellement dévastatrice pour elle. Des hackers ont piraté l’un de ses sous-traitants et ont mis la main sur une de ses « boîtes à outils » : des centaines de logiciels et virus informatiques utilisés par la NSA pour ses cyber-opérations clandestines. Cette fuite intervient dans un contexte particulier, marqué par la publication, il y a moins d’un mois, par WikiLeaks, de milliers de mails du parti démocrate américain. Cette fois encore, la Russie est pointée du doigt. Mediapart fait le point sur l’affaire.

  • Un bien étrange « leak »

Samedi 13 août dans la matinée, un groupe de hackers jusqu’à présent inconnu, les « Shadow Brokers », affirme avoir réussi à pirater « Equation Group », une société travaillant pour la NSA, et détenir des armes numériques, des outils de hacking utilisés par l’agence américaine.

Avec l’annonce, postée sur plusieurs plates-formes dont les sites GitHub (supprimé depuis) ou PasteBin, les hackers ont également mis en ligne deux fichiers chiffrés. Pour l’un, la clef de déchiffrement est « offerte », permettant de découvrir quelques-uns des malwares, des virus informatiques, utilisés par Equation Group. Pour l’autre, censé contenir les « meilleurs » outils de la société, la clef est mise aux enchères.

capture-d-e-cran-2016-08-18-a-13-15-55

L’annonce se termine par un avertissement pseudo-politique contre les « élites » écrit dans un anglais approximatif. « Nous avons un message pour les “élites fortunées”. Nous savons ce que fortuné veut dire mais que sont les élites ? Les élites font les lois pour se protéger elles-mêmes et leurs amis, mentir et baiser les autres personnes. (…) Nous voulons être sûrs que les élites fortunées reconnaissent le danger que les cyber-armes, ce message, notre enchère, représentent pour leur richesse et leur contrôle. Expliquons mieux aux élites. Votre richesse et votre contrôle dépendent de données électroniques. »

Ce « leak » pour le moins inhabituel, réalisé par un groupe inconnu, a étonné de nombreux spécialistes. D’autant que le mode d’organisation des enchères a de quoi laisser sceptique. Les acheteurs potentiels doivent verser la somme qu’ils souhaitent investir en bitcoins, la principale monnaie numérique, à une adresse indiquée dans l’annonce. Le système des bitcoins reposant sur un système de validation des transactions par la communauté, appelé blockchain, l’ensemble des sommes déjà versées aux Shadow Brokers sont par ailleurs publiques et disponibles à cette adresse.

Les hackers précisent d’emblée qu’aucune enchère versée ne sera remboursée. Ceux qui ne remporteront pas les données auront donc perdu leur argent. L’annonce fait cependant miroiter un « prix de consolation » : « Si notre enchère atteint un total de 1 000 000 (million) de bitcoins, nous balancerons d’autres fichiers d’Equation Group, de même qualité, non chiffrés, gratuitement, pour tout le monde. » Une condition pourtant peu crédible, un million de bitcoins représentant environ 508,6 millions d’euros, soit un quinzième du montant total de bitcoins en circulation.

  • Les malwares authentifiés

« Le 13 août 2016 a vu le début d’un épisode vraiment bizarre », constate la société de sécurité Kaspersky Lab dans une analyse publiée le mardi 16 août. La menace est pourtant des plus sérieuses, et l’authenticité des malwares a pu être confirmée par Kaspersky Lab. La société avait en effet déjà eu l’occasion d’étudier les logiciels proposés par Equation Group et en avait publié une analyse au mois de février 2015. « Même si nous ne pouvons pas présumer de l’identité ou des motivations de l’attaquant, ni quand ni où ce pactole a été chapardé, nous pouvons affirmer que plusieurs centaines d’outils provenant du leak partagent une connexion très forte avec nos précédentes découvertes sur Equation Group. »

Les chercheurs de Kaspersky Lab ont notamment relevé une implémentation particulière, dite RC6, d’un algorithme de chiffrement quasi identique dans les différents logiciels du sous-traitant de la NSA. « Cette implémentation RCS spécifique a été vue avant uniquement dans les malwares d’Equation Group. Il y a plus de 300 fichiers dans les archives des Shadow Brokers qui implémentent cette variation spécifique du RC6 sous 24 formes différentes. Les chances pour qu’ils aient tous été truqués ou fabriqués sont très improbables », affirme la société de sécurité.

L’origine des fichiers a par ailleurs été confirmée le 16 août au Washington Post par deux anciens hackers de la NSA s’exprimant sous couvert d’anonymat. « Sans aucun doute, il s’agit des clefs du royaume », affirme au quotidien un des anciens membres de la Tailored Access Operations (TAO). « Les choses dont vous parlez pourraient ébranler la sécurité de beaucoup des principaux réseaux de gouvernements ou d’entreprises, à la fois ici et à l’étranger », poursuit-il. L’autre ex-agent de la TAO est tout aussi affirmatif : « De ce que j’ai vu, il n’y a aucun doute dans mon esprit sur le fait que c’est légitime. »

Pas de mobilisation sans confiance
Pas de confiance sans vérité
Soutenez-nous