Pour Halloween, les Shadow Brokers réservent une nouvelle surprise au gouvernement américain. Le groupe de pirates, inconnu jusqu’en août dernier et qui affirme avoir hacké la NSA, vient en effet de mettre en ligne une archive ainsi qu’un message sur le site de blogging Medium. Ce message est signé avec la même clef PGP que celle employée pour les précédentes communications des Shadow Brokers.
La série de données publiées renferme 300 fichiers ou dossiers, correspondant tous à différents domaines et adresses IP localisées un peu partout dans le monde, avec une concentration importante en Chine, en Corée du Sud, au Japon mais aussi en Espagne ou en Allemagne. Selon une analyse d’un chercheur indépendant, ce sont au total 306 noms de domaines et 352 adresses IP, disséminées dans 49 pays, qui y figurent. En France, signalons la présence de plusieurs domaines appartenant à l’opérateur Colt.
Selon les Shadow Brokers, il s’agit là d’une liste de serveurs compromis par Equation Group, un faux nez de la NSA servant à hacker des intérêts à l’étranger. Ce sont ces serveurs qui serviraient à lancer des attaques vers les cibles réelles de l’agence de Fort Meade. Les Shadow Brokers livrent donc cette nouvelle archive comme une liste d’indicateurs de compromission : « beaucoup de missions (de la NSA, NDLR) sur vos réseaux sont venues et viennent encore de ces adresses IP », assurent les pirates dans leur anglais hésitant.
« Ainsi la NSA pirate des machines depuis des serveurs compromis en Chine ou en Russie. C’est pourquoi l’attribution (des attaques, NDLR) est si difficile », commente le chercheur Mustafa Al-Bassam sur Twitter. Au passage d’ailleurs, rien ne permet d’affirmer que les serveurs que les Shadow Brokers disent être compromis ont tous servi aux opérations offensives de la NSA et que le groupe de pirates n’en profite pas, par exemple, pour trouver une couverture à des activités de hacking menées par un pays ami…
Les Shadow Brokers se sont fait connaître à la mi-août en annonçant avoir piraté des systèmes informatiques utilisés par Equation, réputé proche de la NSA. A l’appui de ses affirmations, ce groupe jusqu’alors inconnu avait posté deux archives sur des sites de partage. La première, en libre accès, renfermait 300 Mo de données, où se mêlent des outils et des techniques pour infiltrer des systèmes. Plusieurs éléments concordants ont permis d’établir un lien direct entre ces fichiers, qui contenaient bien des failles zero days, et la NSA. Une seconde archive, chiffrée et placée cette fois aux enchères, renfermerait du code inédit, « meilleur que Stuxnet » selon les Shadow Brokers. Le contenu de cette seconde archive reste toutefois mystérieux pour l’instant.
La mise en ligne surprise des quelque 350 adresses IP de serveurs supposément détournés par la NSA intervient au moment où la source présumée des Shadow Brokers est en détention aux Etats-Unis. Fin août, un ex sous-traitant de la NSA, Harold Martin, a été arrêté par le FBI lors d’une perquisition à son domicile, où il stockait quelque 50 To de données classifiées qui n’auraient jamais dû quitter les systèmes de ses employeurs. Les services américains soupçonnent Martin d’être l’informateur des Shadow Brokers, même s’ils n’ont produit aucun élément réellement probant à ce jour.
A lire aussi :
10 questions pour comprendre l’affaire Shadow Brokers
La NSA aurait dû détecter sa seconde taupe plus tôt
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…