Les Shadow Brokers, un an après : un choc plus important que Snowden

Un an après leur apparition, les Shadow Brokers restent un mystère. Mais le groupe de hackers, qui distillent certains des secrets les mieux gardés de la NSA, recèle un pouvoir de déstabilisation majeur. Comme l’ont montré les crises WannaCry et NotPetya.

« Qui sont réellement les Shadow Brokers ? Nous n’en avons pas la moindre idée. Pas plus que n’importe qui ». Présentés lors de la récente conférence BlackHat, qui s’est déroulée la semaine dernière à Las Vegas, les travaux du hacker et entrepreneur français Matt Suiche, fondateur de la société spécialisée en sécurité Comae, reviennent sur la première année d’activité de ce mystérieux groupe de hackers. Apparus à la mi-août 2016, les Shadow Brokers – un nom qu’ils se sont eux-mêmes choisi – ont distillé au fil des mois des données hautement confidentielles dérobées au Equation Group, une organisation soupçonnée d’héberger les opérations offensives conduites par la NSA américaine.

Au total, quatre archives d’outils, modus operandi, noms liés aux opérations du Equation Group postées publiquement et une dernière dévoilée seulement aux abonnés au service payant que les Shadow Brokers ont monté pour diffuser peu à peu leur stock d’informations. « L’émergence d’un groupe comme les Shadow Brokers est sans précédent et nous donne un aperçu, de l’intérieur, de ce que les capacités offensives du Equation Group étaient il y a quatre ans, en 2013 », écrit Matt Suiche, les révélations du mystérieux groupe de pirates semblant toutes remonter au mieux à cette période.

Identité et motivations brumeuses

Malgré ce décalage temporel, les conséquences de ces révélations sur la sécurité des systèmes des entreprises et gouvernements sont majeures. En raison du grand nombre de plateformes ayant été compromises : de grandes marques de routeurs, Linux, Solaris et bien sûr Windows. Un OS où était logée, au sein d’un protocole appelé SMB, une faille redoutable que n’ont pas tardé à réexploiter les concepteurs de WannaCry et de NotPetya. Deux malwares à l’origine de deux crises mondiales. Rappelons que des groupes de premier plan, comme Maersk, Merck, TNT Express ou le Français Saint-Gobain, se débatent encore, un mois après, avec les conséquences de NotPetya. Du jamais vu ! « Les révélations des Shadow Brokers sont bien plus significatives que celles de Snowden », a expliqué Matt Suiche. Même si leur histoire reste plus difficile à écrire que celle du lanceur d’alerte réfugié en Russie.

Car, comme le montre le document que publie le hacker, malgré les revirements dans la stratégie du mystérieux groupe (qui a d’abord tenté de monnayer ses trouvailles dans une enchère), l’identité et les motivations des Shadow Brokers restent brumeuses. Confusion que ne fait qu’entretenir le charabia dans lequel les pirates se complaisent pour rédiger leurs messages écrits.

Exploits Unix bizarrement sous-exploités

Même si les Shadow Brokers ne sont logiquement détenteurs que d’un stock d’outils et de techniques limité en provenance de la NSA, Matt Suiche s’attend à d’autres révélations au travers du service d’abonnement mis en place par les pirates. « Au cours des 12 derniers mois, nous avons atteint un niveau totalement inédit de complexité dans les attaques. De telles attaques provenant d’assaillants d’un genre nouveau frappent durement les administrateurs IT, qui parfois ne savent même pas s’il s’est passé quelque chose, écrit Matt Suiche. Inutile de dire qu’ils ne sont pas préparés à des attaques si sophistiquées et complexes, sans rapport avec les attaques communes auxquelles ils ont d’habitude affaire. »

Suiche s’attend à de nouveaux coups de chaud au cours du second semestre 2017 et en 2018. Le hacker, qui loue les efforts réalisés par Microsoft pour renforcer structurellement la sécurité de Windows 10, remarque par ailleurs que si les exploits touchant l’OS de Microsoft ont été largement mis à profit, ceux ciblant Unix, « tout aussi dangereux et pertinents », sont pour l’instant passés sous le radar.

La présentation du fondateur de Comae intervient au moment où les Shadow Brokers publient un nouveau message, conjointement à la divulgation de nouvelles données dans le cadre de leur service sur abonnement. Au passage, la mystérieuse organisation a remonté son tarif d’abonnement passant à environ 90 000 $ (en crypto-monnaie Zcash au Monero), après une première hausse des prix en juin.

Après WannaCry : les Shadow Brokers promettent de nouvelles révélations

Les cybercriminels s’emparent des outils de hacking de la NSA

Lire aussi : Cybersécurité : comment mesurer le profil de risque d’une infrastructure IT ?