Des hackers ont piraté la NSA et publié ses outils d'espionnage contre Cisco et Fortinet

Un groupe de hackers se présentant comme les "Shadow Brokers" a publié le 15 août sur Internet le plus grand trésor de guerre qu'il soit possible de piller : les outils de piratages de la NSA, l'agence de renseignement électronique des Etats-Unis. Plus précisément, les Shadow Brokers (une référence au jeu vidéo Mass Effect ?) sont parvenus à pirater Equation Group, un groupe de hackers mystérieux, travaillant pour la NSA, dont l'existence n'a été découverte qu'en 2015 (par Kaspersky Labs), alors que sa formation remonte au minimum à 2001. C'est l'arroseur arrosé, mais les enjeux sont ici autrement plus importants.

Une politique de cyber-attaque très controversée

Car Equation Group, qui a notamment été impliqué dans la création de Stuxnet (et de centaines d'autres opérations militaires du même type), dispose de capacités de guerre électronique hors du commun. Les outils volés et publiés sur Internet, dont les noms ridicules comme EpicBanana, ExtraBacon, EligibleBachelor ou EgregiousBlunder sont assez typiques de ce que l'on connaît de la part de l'agence américaine, ciblent des vulnérabilités dans les équipements de grands fabricants comme Cisco et Fortinet. La plupart des faiblesses en question datent d'entre 2010 et 2013. Le scénario est classique : plutôt que de prévenir les équipementiers, les spécialistes de la NSA ont gardé ces failles pour eux afin de les exploiter contre les ennemis.

Cisco, Fortinet... et les autres ?

Le problème, invariablement cité par tous les spécialistes et chercheurs en cybersécurité du monde, est qu'une faille finit toujours par tomber dans les mains d'une puissance rivale, et sans forcément qu'on le découvre. Cisco et Fortinet ont confirmé que leurs firewalls étaient vulnérables à ces attaques, qui permettent par exemple de prendre le contrôle d'un firewall à distance et d'espionner toutes les données transitant sur un réseau.

Cisco a annoncé par voie de communiqué que la vulnérabilité exploitée par "EpicBanana" a déjà été bloquée par un patch de Cisco en 2011, et que ses équipes travaillent à la résolution des autres. Une course contre la montre est engagée, puisque de très nombreux hackers peuvent désormais faire usage de ces attaques. Juniper Networks, un compétiteur de Cisco et Fortinet déjà au cœur d'un scandale similaire en début d'année, n'a pour l'instant pas réagit officiellement. Il est cependant difficile de ne pas faire le lien entre les deux affaires.

Bourde de la NSA, ou piratage de génie ?

Enfin, il faut noter que le groupe Shadow Brokers a annoncé n'avoir publié qu'une petite partie de son butin (totalisant environ 256 Mo), conservant les meilleures "cyber-armes" pour les vendre aux enchères. La somme demandée : 1 million de bitcoins, soit approximativement 500 millions de dollars. La plupart des experts du secteur estiment qu'une telle vente à peu de chances d'aboutir, et voient plutôt dans cette fuite une volonté d'humilier publiquement les services gouvernementaux américains.

Beaucoup théorisent même qu'aucun piratage n'a eu lieu, et qu'il s'agit plus probablement d'une bourde commise par un agent américain, qui n'aurait pas correctement effacé ses traces après une opération. Voire d'une fuite interne, œuvre d'une taupe pour une raison inconnue. On ne peut par ailleurs s'empêcher de noter que de nouveaux documents volés au camp démocrate ont été postés le même jour par Guccifer 2.0. Aucun lien n'a été établi entre les deux sources, mais elles ont le même résultat : un affaiblissement de la position américaine sur la scène internationale.

Et pour achever d'embrumer l'affaire en lui donnant des relents de guerre froide, Edward Snowden a publiquement émis l'hypothèse sur Twitter que les services de renseignement russes pourraient être derrière cette fuite. Le lanceur d'alerte américain, ancien agent de la NSA et considéré comme un traître par le gouvernement américain, vit actuellement à Moscou.

Sélectionné pour vous

Apple alerte des journalistes, militants et politiques visés par des logiciels espions sophistiqués

SentinelOne rachète Observo AI pour améliorer l'exploitation des données de sécurité

L'Otan migre ses applications critiques vers Oracle