Fuite Shadow Brokers : la preuve d’une nouvelle taupe à la NSA ?

Les derniers éléments publiés par les Shadow Brokers poussent les chercheurs en sécurité à soupçonner la présence d’une nouvelle taupe au sein de la NSA. Et à échafauder un lien entre les publications de ce groupe de pirates et la Russie.

Selon une analyse de la société Flashpoint, les ShadowBrokers, ces pirates inconnus jusqu’en août dernier et qui ont mis en ligne des outils de hacking issus de la NSA, ont récupéré les données qu’ils distillent depuis la mi-août 2013 via un employé de l’agence ou un de ses sous-traitants. Pour ce faire, la société spécialisée en sécurité se base sur des indices laissés dans la dernière publication des Shadow Brokers, la semaine dernière. En marge du post d’un certain Boceffus Cleetus, qui propose ces outils entre 10 et 100 bitcoins (de 8 000 à 80 000 dollars) – ou 800 000 $ l’ensemble -, des fichiers texte et des captures d’écran ont été publiés afin de montrer l’intérêt des données détenues. C’est en analysant ces données que FlashPoint en vient à sa conclusion, en se basant notamment sur l’usage très large d’un langage appelé Markdown, qui fournit une syntaxe facile à lire et à écrire pour générer des documents.

« En examinant cette archive et la façon dont les données sont structurées, nous sommes à peu près certains qu’elle provient d’un entrepôt de données interne [à la NSA] et que c’est probablement un employé ou un sous-traitant qui y a eu accès », explique Ronnie Tokazowski, un analyste de Flashpoint.

Dérobés en juillet 2013

Postés sur le réseau pair-à-pair ZeroNet, en lien avec un message sur Medium, ces éléments censés appâter le chaland laissent entrevoir des codes d’exploitation datant d’une période s’étalant de 2005 à 2013. « Les Shadow Brokers ont modifié les données et les horodatages, pour tenter d’empêcher les analyses des chercheurs en sécurité », écrit Flashpoint dans son billet de blog. Et la société d’estimer « avec une confiance moyenne » (sic) que les documents dérobés ont probablement été obtenus en juillet 2013. Une hypothèse qui soulève évidemment la question de la motivation réelle des Shadow Brokers : si ceux-ci sont uniquement motivés par l’argent, pourquoi avoir attendu trois ans avant de publier leurs trouvailles, qui se sont démonétisées dans l’intervalle ? A moins que ce groupe de pirates n’ait récupéré ces données d’un acteur tiers…

nsa_2013
Le siège de la NSA à Fort Meade (par Trevor Paglen, via Wikimedia Commons).

Un autre chercheur en sécurité, qui se fait appeler The Grugq, tend à confirmer les conclusions de FlashPoint : « la publication de cette archive (la dernière en date, NDLR) en dit long, en particulier sur le fait que les Shadow Brokers ont accès aux outils, implants et exploits qui ne peuvent exister qu’en zone protégée (au sein des réseaux classifiés de la NSA) ». The Grugq note aussi que la diversité des outils que laissent entrevoir les éléments dévoilés par les Shadow Brokers (captures d’écran et fichiers texte) ne colle pas avec l’hypothèse du détournement d’un serveur utilisé par la NSA pour ses opérations de hacking, l’agence ne déployant pas – par mesure de sécurité – tout son arsenal sur une machine par nature exposée.

Shadow Brokers : un faux nez de Moscou ?

Le chercheur relève lui aussi l’âge de ces outils : « Je pense qu’une large part des outils et exploits concernés ne sont plus à l’état de l’art pour la NSA. Donc, leur capacité à mener leurs missions ne sera pas affectée par cette publication. » Même s’il relève que, pour la NSA, le coup est rude. The Grugq développe en fait une autre thèse au sein de trois billets de blog (ici, ici et ici), celle d’une opération visant à détourner l’attention des manœuvres de la Russie lors de la récente campagne présidentielle aux Etats-Unis. Et de relever ainsi le coup de pouce donné par Les Fancy Bears, un groupe de hackers réputé lié au renseignement militaire russe (GRU), dans la diffusion du nouveau ‘leak’ des Shadow Brokers.

Depuis les premières publications de ce groupe de hackers, confirmant l’étendue des outils d’attaque à disposition des équipes de la NSA, plusieurs hypothèses ont circulé sur l’origine de cette nouvelle fuite de données frappant l’agence de Fort Meade. L’une d’entre elles, distillée par le FBI, relie les Shadow Brokers à Harold Thomas Martin III, un salarié de Booz Allen Hamilton ayant travaillé comme sous-traitant pour la NSA et arrêté fin août à son domicile, en possession de nombreuses données top secrètes. En octobre dernier, le New York Times affirmait, sur la base du témoignage d’enquêteurs, que l’informaticien était, au moment de la perquisition de son domicile, en possession d’outils de hacking de la NSA récemment mis en vente par les Shadow Brokers. Au sein de l’agence de Fort Meade, Hal Martin a travaillé pour le département Tailored Access Operations, précisément l’unité chargée des cyber-opérations offensives de la NSA et du développement d’outils de hacking.

A lire aussi :

La 2ème taupe de la NSA serait liée aux Shadow Brokers

Spécial Halloween : la liste des adresses IP utilisées par la NSA pour ses piratages

10 questions pour comprendre l’affaire Shadow Brokers