Les espions américains hackés ? Snowden y voit un avertissement de Moscou

De mystérieux hackers affirment avoir dégoté les cyberarmes utilisées par un groupe d’élite de la NSA. Malgré une mise en scène grandiloquente, les experts en sécurité informatique prennent cette menace au sérieux. Et y voient la marque russe.

Grosse arnaque ou véritable intrusion, l’affaire est digne d’un film d’action. Ce 15 août, un ou plusieurs individus qui se présentent sous le nom de « The Shadow Brokers » ont affirmé avoir percé les secrets de l’élite de l’espionnage américain : le « groupe Equation ».

Baptisé de la sorte par la firme de cybersécurité Kaspersky, ce groupe de hackers ultra-sophistiqués dont les traces remontent avant les années 2000 est souvent rattaché à la NSA. Pour cause : le groupe Equation serait derrière tout un tas de réjouissances capables de scruter et prendre le contrôle d’un réseau, dont Stuxnet, le virus qui a ciblé une centrale nucléaire iranienne, et que l’on attribue désormais aux services américains.

Un extrait du message posté par les

Un extrait du message posté par les « Shadow Brokers » sur Pastbin – Capture/Pastbin

Les mystérieux « Shadow Brokers » prétendent avoir obtenu les « cyber-armes » utilisées par le groupe Equation et les proposent aux plus offrants. Ils réclament 1 million de bitcoins, soit 490 millions d’euros – pour l’heure, l’enchère ne dépasse pas les 1,629 bitcoins, soit un peu moins de 1 000 euros.

Des preuves sérieuses

Pour beaucoup d’experts en sécurité informatique, l’enchère en elle-même est une vaste blague. Le chercheur Nicholas Weaver estime que personne ne peut espérer une telle somme en bitcoins sans éveiller quelques soupçons. Et de conclure :

« L’enchère tient probablement d’une mise en scène à la “Doctor Evil” [le méchant d’“Austin Powers”, ndlr] – les seules mises seront des investissements de 20 dollars réalisés par des blagueurs de Twitter. »

Les enchères organisées par les

Les enchères organisées par les « Shadow Brokers », le 17 août 2016 – Capture / Blockchain.info

Mais la communauté de la cybersécurité prend tout de même ces « Shadow Brokers » très au sérieux. « Si c’est un hoax, ses auteurs y ont consacré beaucoup d’effort », commente sur Motherboard le chercheur en sécurité connu sur Twitter sous le pseudo « The Grugq ». Weaver va plus loin, en écrivant qu’il ne s’agit « certainement pas ici d’amateurs ».

L’objet de leur attention porte sur les fichiers déjà publiés par les hackers – un « avant goût » de leurs découvertes majeures. Pour les experts, ils ont tout l’air d’être authentiques. On y trouve en effet des bouts du parfait kit de l’espionnage sur Internet :

  • De quoi configurer des serveurs dits de « command and control », des machines capables de lancer des attaques (par exemple celles en déni de service, qui forcent des ordinateurs infectés à se connecter à des sites pour le faire tomber).
  • De quoi exploiter des failles dans des équipements installés au cœur d’Internet ; des routeurs fabriqués par les Américains Cisco ou Juniper. Un modus operandi déjà décrit dans les documents révélés par Edward Snowden.

Encore la marque de Snowden ?

Beaucoup d’éléments tendent d’ailleurs à lier ce nouveau hack au lanceur d’alerte toujours exilé en Russie. La date associée à ces fichiers (certes, facilement falsifiable) affiche 2013 et des noms de code qui y figurent (tels que « BANANAGLEE » or « EPICBANANA »), apparaissaient déjà dans les documents subtilisés par Snowden, pour désigner des outils de la NSA.

Une manifestation contre les méthodes de la NSA et des services de renseignement allemands, le 5 septembre 2015 à Berlin

Une manifestation contre les méthodes de la NSA et des services de renseignement allemands, le 5 septembre 2015 à Berlin – IPON-BONESS/SIPA

Mais les experts ne croient pas ici en l’implication du lanceur d’alerte : Bruce Schneier fait valoir que ce dernier a prélevé, non pas les outils en eux-mêmes, mais des présentations de la NSA (vous savez, les diaporamas kitchs). D’autres disent surtout que les fichiers sont datés parfois plus de quatre mois après les révélations Snowden.

Qui, alors, vient de se décider à livrer des infos potentiellement explosives pour les espions américains, trois ans après les avoir captées ?

A ce stade, les réponses relèvent de la spéculation et nécessitent donc la plus grande prudence. Mais une théorie revient avec plus d’insistance que les autres : cette révélation serait un avertissement de la Russie aux Etats-Unis.

La main de Moscou

Les experts cités plus haut penchent tous pour ce scénario. Snowden lui même voit derrière les « Shadow Brokers » la main de Moscou.

Dans la journée du 16 août, l’ancien employé de la NSA a soumis sur Twitter son interprétation de l’affaire. En 12 points (conclus par un cinglant « de rien la NSA, bisous »), il détaille le scénario qui s’est selon lui produit.

Il explique que si la NSA infiltre des serveurs, c’est notamment pour espionner les cyberforces de certains Etats.

« C’est comme cela que nous volons les outils de hacking de nos rivaux, et que nous les étudions pour créer des “empreintes”, afin de nous aider à les détecter dans le futur. »

Mais « la NSA n’est pas magique » et il arrive que ces mêmes rivaux fassent pareil avec les espions américains. Pour qu’ils ne se fassent pas repérer après une opération, on leur demande de nettoyer les serveurs qu’ils ont utilisés. Mais « certains ont la flemme ». Et patatras.

Pour Snowden néanmoins, ce n’est pas la première fois que l’arroseur se fait ainsi arroser. En revanche, « un rival qui fait publiquement la démonstration qu’il l’a fait », c’est une grande première.

Escalade

Pourquoi la Russie s’amuserait ainsi à menacer les Etats-Unis, derrière une telle mise en scène ? Snowden répond qu’il s’agit « probablement d’un avertissement », visant à montrer  « que quelqu’un peut prouver que les Etats-Unis sont responsables d’attaques en provenance de ce serveur malveillant ».

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s