Pendant le week-end, les Shadow Brokers, ce groupe de pirates informatiques qui a essayé de vendre sur le marché parallèle, sans grand succès, des programmes d'exploitation de failles et des malwares prétendument utilisés par l'Agence de sécurité nationale américaine (NSA) a décidé de mettre gratuitement ces données à la disposition de tous. Les spécialistes de la sécurité pensaient découvrir dans l’archive livrée samedi, sans protection cette fois, des exploits inconnus et jamais publiés, notamment pour des failles zero-day. Mais, ce ne fut pas le cas. À mesure que les chercheurs progressaient dans l’analyse des éléments publiés, il est devenu évident que, même si certains d'entre eux étaient techniquement intéressants, la grande majorité concernait des vulnérabilités anciennes et déjà connues.
Certains exploits semblent provenir d’une information publique et concernent d’anciennes versions de logiciels. « Ceux que j'ai testés jusqu'à présent sont obsolètes », a déclaré Maksym Zaitsev, un chercheur qui a analysé les données contenues dans l'archive. « Aucun exploit significatif n'a été trouvé ou confirmé », a ajouté le chercheur qui travaille pour un cabinet français spécialisé dans le conseil en sécurité et les tests de pénétration, mais qui fait aussi de l'analyse pendant son temps libre. Julien Voisin, un ingénieur spécialiste de l’ingénierie inverse, qui a catalogué avec un chercheur connu en ligne sous le pseudonyme x0rz, les programmes et les outils trouvés dans l'archive livrée par les Shadow Brokers, a confirmé les résultats de Maksym Zaitsev. « Toutes les failles concernées par ces exploits ont probablement été corrigées », a déclaré Julien Voisin par courrier électronique. « Certains sont intéressants d'un point de vue historique, mais personne ne pourra les utiliser pour commettre de nouveaux actes de piratage aujourd’hui », a ajouté l’ingénieur.
Des adresses IP des serveurs compromis par Equation
Cependant, si la fuite ne présente aucun danger immédiat pour les utilisateurs, c’est un vrai cauchemar en termes de sécurité opérationnelle pour la division Tailored Access Operations (TAO) de la NSA, soupçonnée de soutenir le groupe de cyber espions connu dans l'industrie de la sécurité sous le nom d’Équation. En effet, l'archive des Shadow Brokers ne contient pas seulement des exploits, mais aussi des implants de malwares et d'autres outils développés par le groupe Equation pour s’introduire dans divers systèmes basés sur Unix. L’archive contient également des clés chiffrement, des logs de serveurs piratés et des informations permettant d’identifier les cibles compromises.
Ainsi, les chercheurs ont extrait de l'archive une liste d'adresses IP qui correspondraient aux serveurs compromis par le groupe Equation. Celles-ci sont liées à de nombreuses universités, des centres de recherche nationaux et d'autres établissements d'enseignement du monde entier. D'autres informations trouvées dans l'archive laissent penser que le groupe Equation a installé des implants sur des serveurs de messagerie et autres serveurs appartenant à des gouvernements, des opérateurs de télécommunications, des fabricants de matériel réseaux et d'autres entreprises privées. Par exemple, un morceau de data, laisse penser que, à un moment donné, le groupe Equation a implanté un malware dénommé Stoicsurgeon sur un serveur de messagerie utilisé par le gouvernement russe. Les exploits contenus dans l'archive ciblent des systèmes d'exploitation basés sur Unix comme SunOS et Solaris, plusieurs distributions de logiciels Linux, des serveurs de courrier électronique et des serveurs Web, des bases de données, des applications Web et d’autres packs logiciels que l’on trouve couramment sur les serveurs.
La NSA a eu assez de temps pour nettoyer ses traces
« Les données et les outils divulgués indiquent que la NSA cible des infrastructures de télécommunications et des réseaux GSM », a déclaré x0rz via Twitter. « On trouve des scripts pour manipuler des données mobiles comme les enregistrements détaillées des appels, les Call Detail Records (CDR) et des informations de facturation, des exploits ciblant d’anciennes versions de Solaris - un OS réseau répandu - et des notes sur des cibles, notamment les gros opérateurs de réseaux mobiles », a-t-il encore déclaré. La NSA sait depuis un certain temps que ces fichiers ont été divulgués et elle a eu suffisamment de temps pour nettoyer ses traces. Cependant, les informations contenues dans l'archive Shadow Brokers peut encore entraver des opérations en cours et de futures opérations, car les cibles savent désormais qu’elles ont été compromises. Elles vont sans doute procéder à des examens de sécurité et renforcer leurs systèmes.
Il est important également de garder à l'esprit que, même si aucun des exploits de l'archive n’est un exploit zero-day, certains d'entre eux ont probablement servi à cibler des vulnérabilités non corrigées il y a plusieurs années, quand la NSA les utilisait. « À cette époque, les capacités d'infiltration de l'équipe TAO de la NSA étaient très importantes », a rappelé Maksym Zaitsev, qui conseille de « ne pas les sous-estimer ».
Commentaire