Au cours de la longue histoire du piratage informatique, de nombreuses violations de données ont eu lieu qui, des années, voire des décennies plus tard, restent non résolues. D’innombrables hackers et groupes de hackers derrière eux n’ont jamais été démasqués.
Mais les groupes de hackers prolifiques se font prendre. Cela est vrai qu’il s’agisse de cybercriminels tels que LAPSUS$, un gang d’extorsion notoire qui a compromis des entreprises telles que Microsoft et Nvidia, dont plusieurs membres ont été arrêtés, ou de groupes de piratage gouvernementaux sophistiqués de Russie et de Chine, dont les membres ont été nommés, inculpés et placés sur les listes des personnes les plus recherchées.
Pourtant, certains des cas les plus fascinants de l’histoire de la cybersécurité restent largement ouverts : aucun coupable, aucune réponse et, dans certains cas, même pas de motif clair. Nous avons décidé d’en revisiter plusieurs dans une série d’articles, en commençant par l’un des épisodes les plus étranges de l’histoire des fuites de renseignements.
Le premier volet est centré sur les Shadow Brokers – un groupe énigmatique qui a fait surface en ligne, a abandonné une mine d’outils de piratage censés appartenir à la NSA, puis a disparu.
À l’été 2016, en pleine piratage russe lié aux élections présidentielles américaines, le groupe est apparu sur Twitter. Ils ont établi un lien vers un article de Pastebin et ont mentionné plusieurs médias en @ – une stratégie étrange et inefficace qui signifiait que la plupart de ces médias n’avaient probablement jamais vu les tweets.
Mais si quelqu’un avait cliqué sur le lien, il aurait vu un document intitulé « Vente aux enchères d’armes cybernétiques du groupe Equation – Invitation » – une référence à l’opération de piratage obscure largement considérée comme dirigée par la NSA.
» !!! Attention aux sponsors gouvernementaux de la cyber-guerre et à ceux qui en profitent !!!! Combien payez-vous pour les cyber-armes ennemies ? » » ont écrit les hackers, affirmant avoir piraté le groupe Equation.
Le document comprenait des liens pour télécharger certains outils de piratage, ainsi qu’un lien pour télécharger un fichier crypté que les acheteurs intéressés pouvaient décrypter en faisant une offre. « Des dossiers d’enchères meilleurs que Stuxnet », ont-ils écrit, faisant référence au célèbre malware utilisé contre les installations nucléaires iraniennes lors d’une cyberattaque américano-israélienne en 2007. Ils ont demandé au moins un million de Bitcoins.
La fuite a rapidement attiré l’attention de la presse. Une fois que les chercheurs en sécurité ont analysé les outils, ils ont réalisé qu’il s’agissait de cyber-armes exceptionnellement sophistiquées, très probablement volées à la NSA – un soupçon renforcé par le fait que certains partageaient des noms avec des programmes révélés par le lanceur d’alerte de la NSA, Edward Snowden.
La vente aux enchères était probablement une ruse, puisque le groupe a finalement abandonné publiquement de nombreux outils quelques mois plus tard. Beaucoup de choses sur les Shadow Brokers n’avaient pas de sens. Leur anglais approximatif était presque comique, comme s’ils essayaient trop fort ou signalaient délibérément l’artifice. Bien qu’il ait clairement cherché à attirer l’attention – et à avoir bénéficié d’une large couverture médiatique – le groupe n’a parlé à un journaliste qu’une seule fois, donnant une brève interview à Joseph Cox de 404 Media, alors journaliste chez VICE mère.
Dix ans plus tard, nous ne savons littéralement rien de qui se cachait derrière le personnage de Shadow Brokers. Cox et moi avons interviewé d’anciens membres du personnel de la NSA à l’époque, qui ont déclaré qu’un initié ou un ancien initié de la NSA pourrait être impliqué. Mais personne n’a jamais été arrêté ni inculpé – ce qui est extraordinaire, étant donné qu’il s’agit sans doute de l’une des pires fuites d’outils de piratage du renseignement américain jamais enregistrées.
L’un des suspects potentiels était Harold T. Martin III, un sous-traitant de la NSA arrêté pour avoir volé des informations classifiées à l’agence. Mais la théorie a un problème : pendant que Martin était en détention, les Shadow Brokers sont restés actifs en ligne. Il n’a jamais été formellement inculpé en lien avec les fuites. La théorie la plus largement reconnue est que les Shadow Brokers ont été créés par un groupe d’espionnage du gouvernement russe comme outil de propagande.
L’impact a été énorme. Parmi les outils publiés, Shadow Brokers a publié EternalBlue, une famille de vulnérabilités zero-day ciblant Windows qui permettait aux pirates de s’introduire dans les ordinateurs d’un réseau piraté, d’étendre rapidement leur accès et de déployer des vers à propagation automatique. (Les vulnérabilités Zero Day sont des failles inconnues du fabricant du logiciel, ce qui signifie qu’aucun correctif n’existe encore.) Des pirates nord-coréens ont utilisé EternalBlue pour libérer le ver ransomware WannaCry. Des pirates informatiques russes l’ont ensuite intégré à NotPetya, qui a dépassé ses objectifs ukrainiens initiaux et causé des dommages estimés à 10 milliards de dollars dans le monde. Pour les entreprises, la leçon est brutale : les vulnérabilités thésaurisées par les agences de renseignement ne restent pas secrètes pour toujours – et lorsqu’elles sont divulguées, le secteur privé en paie le prix.
Le trésor continue de livrer des découvertes. Parmi les outils divulgués, il y en avait un contenant une liste de noms de projets, dont un appelé Fast16, signalé uniquement par l’étiquette « RIEN À VOIR ICI – CONTINUER ». Le mois dernier, des chercheurs ont annoncé qu’ils l’avaient localisé et examiné, trouvant un logiciel malveillant datant de 2005, conçu pour falsifier les logiciels prétendument utilisés par les scientifiques nucléaires iraniens.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
