Le groupe de hackers Shadow Brokers, à l’origine de la révélation de la faille Windows ayant permis la cyberattaque de masse de la semaine dernière, envisagerait de monétiser les informations sensibles dont il dispose, en s’inspirant du modèle économique de plate-formes comme Spotify ou Netflix.
Dans un récent post, le groupe de hackers Shadow Brokers, à l’origine de la révélation de la faille Windows ayant conduit à la cyberattaque de masse de la semaine dernière, a menacé de révéler des informations sensibles sur les programmes nucléaires de la Chine, de l’Iran, de la Corée du Nord et de la Russie. À quel point cette menace doit-elle susciter l’inquiétude ? Quel est le niveau de menace réel de ce groupe ?
Franck DeCloquement : L’affirmation du groupe « Shadow Brokers » selon laquelle celui-ci posséderait des informations sensibles sur les programmes nucléaires gouvernementaux – ou d’États à travers le monde – est extrêmement inquiétante. Le groupe de pirate a en effet indiqué avoir d’ores et déjà en sa possession des données très sensibles, sur les programmes nucléaires étrangers que vous citez. Ces membres menacent maintenant de rendre publiques encore plus de vulnérabilités informatiques au cours des prochaines semaines.
Parmi lesquels, des outils de piratage, des données confidentielles volées à des membres du réseau bancaire « Swift ». Y compris des données concernant directement les programmes nucléaires – ou de missiles – de l’Iran, de la Chine, de la Russie et de la Corée du Nord. Ainsi que les vulnérabilités affectant cette fois Windows 10, ce programme emblématique de Microsoft installé à travers le monde sur des dizaines de millions d’ordinateurs personnels. Le ransomware « WannaCry », qui a récemment défrayé les chroniques du monde entier en affectant des centaines de milliers de serveurs et de machines informatiques, semble donc n’être qu’un « hors-d’œuvre » en matière d’intrusion numérique…
Le mystérieux groupe de pirates informatiques « Shadow Brokers », autrement-dit les « courtiers de l’ombre », prétendent être les auteurs de cette action malveillante d’envergure planétaire. Mais qui sont réellement au juste ? Le groupe s’est fait connaître des spécialistes l’an passé, en offrant à la vente des outils de piratage dérobés à la NSA. La fameuse Agence américaine de sécurité nationale, divulguant sans vergogne à l’époque, et dans la foulée de leurs méfaits, quelques bribes de code prouvant par la même qu’ils étaient bien en possession du matériel ainsi dérobé. Les experts qui se sont penchés sur l’étude de cette affaire peu commune, ont depuis estimé que ces outils sont authentiques et qu’ils émaneraient bien d’une unité ultra-secrète de la NSA baptisée « Equation Group ». Figurait notamment celui que l’agence de renseignement anglo-saxonne utilisait pour exploiter une faille du système d’exploitation Windows de Microsoft, et qui a été mis à contribution pour mener l’attaque mondiale vendredi dernier, par le désormais célèbre programme malveillant « Wannacry ». Comble du paradoxe, dans un message revanchard ouvertement provocateur, le groupe a reproché à cette unité spéciale de la NSA – « l’Equation Group » – de ne pas avoir alerté les concepteurs de logiciels comme Microsoft, des vulnérabilités nichées au sein de leurs propres produits. Les laissant ainsi exposés aux piratages et autres virus malveillants qu’eux-mêmes ont pu mettre en œuvre… Humour noir ? Sans aucun doute… Le groupe a aussi indiqué que ses futures révélations pourraient être suspendues si la NSA ou un « tiers responsable » rachetait les données volées…
À cette heure, la véracité de leurs propos laisse les experts dans l’expectative. Par ailleurs, certains observateurs avisés soupçonnent déjà en coulisses leurs liens avec le régime Nord-Coréen du dictateur Kim Jong-Un, ou la Russie. Affaire à suivre…
Sur le modèle économique de plateformes comme Spotify ou Netflix, le groupe Shadow Brokers envisage de monétiser les informations dont il dispose, en proposant un abonnement mensuel donnant ainsi accès à ces données. Comment expliquer la perte du caractère « souterrain » de l’économie traditionnellement associée au hacking ? Qu’est-ce que cela révèle des évolutions qu’a connues ce milieu ces dernières années ?
Surfant sur la récente notoriété de leur forfait, à l’origine de la conception du ransomware WanaCrypt0r2.0, les Shadow Brokers entendent évidemment profiter de cette aubaine pour vendre d’autres outils de piratage dérobés à l’unité ultra-secrète de la NSA baptisée « Equation Group ». Leurs visées semblent claires à ce propos. Dans un message très laconique posté très tard mardi soir dernier sur internet, Les « Shadow Brokers » indiquaient dans un anglais toujours très approximatif qu’ils accepteront à partir du mois de juin 2017 des paiements numériques, en échange desquels les « souscripteurs » recevront chaque mois des informations privilégiées sur des méthodes de piratage informatique et des vulnérabilités techniques. Certains de ces « bogues » informatiques pourraient ainsi être diffusés mensuellement, mais dans le cadre spécifique d’un nouveau « modèle d’entreprise » basé très simplement sur l’abonnement des tiers intéressés par ces données. Imitant très clairement à ce stade, un « business-model » qui s’est avéré payant et très efficace pour des entreprises emblématiques du web, à l’image de « Spotify », « Netflix » et « Blue Apron. Toujours dans ce message truffé d’erreurs orthographiques et syntaxiques, les « Shadow Brokers » ont exposé leurs intentions mercantiles pour monétiser leurs actions délictueuses… Leur business-modèle en quelque sorte… « C’est comme un club mensuel du vin. Des gens peuvent payer un abonnement mensuel, puis recevoir chaque mois des données réservées aux membres. Ce que les membres font avec les données dépend d’eux », a écrit le groupe sur le réseau social Steemit.
Ce positionnement parfaitement « pro-business », minutieusement analysé par les experts en charge du dossier afin d’obtenir des indices sur les intentions futures du groupe incriminé, dénote sans ambages d’une volonté de sophistication commerciale croissante de la part des « Shadow Brokers ». Un groupe qui semble avoir démontré à la face du monde une capacité technique redoutable à piller les meilleures agences de renseignements du monde, et à compromettre et infecter des millions de machines via leurs exactions numériques. Ces échanges frauduleux bien connus des spécialistes qui se déroulaient jusqu’à maintenant à travers les ramifications des profondeurs du web, émergent de leurs « souterrains » digitaux pour tenter de commercialiser et de revendre « à l’air libre » auprès du plus grand nombre, des « bogues informatiques » détectés sur la toile. Matérialisant ainsi une volonté de faire émerger et de faire prendre racine un « nouveau type de marché commercial », aux ressorts bien réels, mais aux accents parfaitement frauduleux et criminels. Microsoft n’a pas pour l’heure répondu à une demande de commentaire. Auparavant, le groupe des « Shadow Brokers » avait déjà cherché à vendre ses outils de piratage au plus offrant. Dans les faits, « peu d’acheteurs se sont présentés » au portillon ont déclaré les pirates sur leur blog. Le groupe précise « regretter que personne n’ait encore acheté les données et outils dérobés aux enchères ». Ni The Equation Group (à qui tout cela a été dérobé), ni « The Five Eyes » – autrement dit, l’alliance des services de renseignement du Royaume-Uni, de l’Australie, de la Nouvelle-Zélande, du Canada et des États-Unis – la Russie, la Chine, l’Iran, la Corée, le Japon, Israël, l’Arabie Saoudite, l’Onu, l’Otan déplore le groupe. « Cisco, Juniper, Intel, Microsoft, Symantec, Google, Apple, FireEye » ; aucune de ces sociétés ne s’est montrée semble-t-il intéressée. Mais désormais, la mise en place d’un modèle d’abonnement mensuel pourrait signifier que les « bogues » détectés par cette bande pourraient enfin trouver leur chemin jusqu’aux mains du plus grand nombre… Funeste perspective.
Selon la chercheuse Marcy Wheeler, la nouvelle menace lancée par le groupe Shadow Brokers pourrait raviver les tensions entre Microsoft et le gouvernement fédéral américain. Quel intérêt aurait effectivement les Shadow Brokers à cela ?
Les Shadow Brokers estiment que les entreprises high tech américaines sont truffées d’espions de la NSA, Microsoft compris… Mais à leurs yeux, les services russes, chinois, iraniens et israéliens font de même dans les grandes « entreprises technologiques mondiales ». Les outils publiés par ce groupe de pirates revendiqué sont très sophistiqués et tous les experts en sécurité informatique ont craint dans un premier temps que la publication de ces outils, très facilement réutilisables, mette toutes ces failles à la portée d’innombrables pirates potentiels « introduisant des armes informatiques très puissantes dans les mains de quiconque les télécharge ». Beaucoup de spécialistes de la sécurité informatique consultés estiment n’avoir jamais autant vu de failles « zéro day » publiées d’un seul coup. C’est en outre le cas de Matthew Hickey, chercheur en sécurité informatique au site The Intercept, cité dans la presse anglo-saxonne.
Si un doute était encore permis sur la valeur réelle du butin dévastateur ainsi subtilisé par les « Shadow Brokers », il est désormais dissipé. Sur le fond, les Shadow Brokers pointent du doigt la responsabilité des gouvernements et des géants du web qui n’ont pas souhaité acquérir leur butin lorsque celui-ci était mis en vente par le biais d’enchères en ligne… Les voici aujourd’hui coupables à leurs yeux de ne pas les avoir pris au sérieux. D’où l’explication de ce changement radical de positionnement, à les entendre.
Dans l’une de leur note publiée sur leur blog, ils se moquaient en outre de James « You’re fired » Comey, l’ex directeur du FBI démis par Donald Trump. Ils assurent aujourd’hui avoir encore « beaucoup de choses » en réserve, puisque « 75% de l’arsenal cybernétique est Américain selon eux. De quoi faire trembler les services de sécurité américains. Pour autant, les autres États ne semblent pas à l’abri de leur courroux. Ainsi, les Shadow Brokers envisagent aussi de livrer « les petits secrets des grandes nations » à toute personne qui souscrira auprès d’eux, un abonnement mensuel. En juin, le groupe affirme qu’il lancera « The Shadow Brokers Data Dump of the Month », une forme de service d’abonnement mensuel qui livrerait à ses bénéficiaires des outils de piratage pour navigateur web, routeurs ou Windows 10 épargné jusqu’ici, mais aussi des données subtilisées au réseau bancaire SWIFT et à des banques centrales comme nous l’indiquions plus haut. En l’état, la boucle semble bouclée.
Après l’attaque au rançongiciel WannaCry repérée vendredi, les chercheurs de la société de sécurité informatique Proofpoint ont découvert une nouvelle attaque de bien plus grande envergure et encore plus rentable, liée à WanaCrypt0r2.0. Celle-ci est appelée cette fois « Adylkuzz ». Elle utilise de manière plus furtive encore et à des fins forts différentes, les outils de piratage récemment divulgués par la NSA, et la vulnérabilité désormais corrigée de Microsoft… On ne connaît pas encore l’ampleur exacte des dégâts causés, mais des centaines de milliers d’ordinateurs pourraient avoir été une fois encore infectés. Concrètement, ce logiciel malveillant s’introduit dans des ordinateurs vulnérables grâce à la même faille de Windows utilisée précédemment par WannaCry. Le malware crée alors, de façon « invisible », des unités d’une monnaie virtuelle parfaitement intraçable appelée « Monero », parfaitement comparable au fameux Bitcoin. Les données numériques qui permettent d’utiliser ces gains sont extraits puis envoyées à des adresses cryptées… Le tour est joué !
Le groupe de pirate « Shadow Brokers » s’exprime une dernière fois sur la toile quant à leurs intentions sous-jacentes et leurs prises de positions, suite à la propagation de WanaCrypt0r2.0 : « Nous ne voulons pas voler les économies des grands-mères ». « C’est une histoire entre ‘The Shadow Brockers’ et The Equation Group », cette entité de la NSA (National Security Agency) prise en grippe par les pirates… Un froissement d’Ego rivalitaire ? Le fond de l’affaire est peut-être là en définitive…
http://www.atlantico.fr/decryptage/apres-wanna-cry-chantage-apocalypse-nucleaire-groupe-pirates-informatiques-fait-fuiter-secrets-nsa-affirme-detenir-donnees-3054494.html/page/0/1
Commentaires récents