Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
International
©PATRICK KOVARIK / POOL / AFP

Nouvelle menace

Après Wanna Cry, le chantage à l’apocalypse nucléaire ? Le groupe de pirates informatiques qui a fait fuiter les secrets de la NSA affirme détenir des données sur les programmes nucléaires de plusieurs pays

Le groupe de hackers Shadow Brokers, à l'origine de la révélation de la faille Windows ayant permis la cyberattaque de masse de la semaine dernière, envisagerait de monétiser les informations sensibles dont il dispose, en s'inspirant du modèle économique de plate-formes comme Spotify ou Netflix.

Franck DeCloquement

Franck DeCloquement

Membre fondateur du Cercle K2 et ancien de l’école de Guerre Économique de Paris (EGE), il est en outre professeur à l'IRIS (Institut de Relations internationales et stratégiques) en "Géoéconomie et intelligence stratégique". Il enseigne également la "Géopolitique des médias" en Master 2 recherche "Médias et Mondialisation", à l'IFP (Institut français de presse) de l'université de Paris II Panthéon-Assas. Franck DeCloquement est aussi spécialiste sur les menaces Cyber-émergentes liées aux actions d'espionnage économique et les déstabilisations de nature informationnelle et humaine. Il est en outre intervenu pour la SCIA (Swiss Competitive Intelligence Association) à Genève, aux assises de la FNCDS (Fédération Nationale des Cadres Dirigeants et Supérieurs), à la FER (Fédération des Entreprises Romandes à Genève) à l’occasion de débats organisés par le CLUSIS - l'association d’experts helvétiques dédiée à la sécurité de l'information - autour des réalités des actions de contre-ingérence économiques et des menaces dans la sphère digitale.

Voir la bio »

Atlantico : Dans un récent post, le groupe de hackers Shadow Brokers, à l'origine de la révélation de la faille Windows ayant conduit à la cyberattaque de masse de la semaine dernière, a menacé de révéler des informations sensibles sur les programmes nucléaires de la Chine, de l'Iran, de la Corée du Nord et de la Russie. A quel point cette menace doit-elle susciter l'inquiétude ? Quel est le niveau de menace réel de ce groupe ?

Franck DeCloquementL’affirmation du groupe "Shadow Brokers" selon laquelle celui-ci posséderait des informations sensibles sur les programmes nucléaires gouvernementaux – ou d’États à travers le monde – est extrêmement inquiétante. Le groupe de pirates a en effet indiqué avoir d’ores et déjà en sa possession des données très sensibles sur les programmes nucléaires étrangers que vous citez. Ces membres menacent maintenant de rendre publiques encore plus de vulnérabilités informatiques au cours des prochaines semaines. Parmi lesquelles, des outils de piratage, des données confidentielles volées à des membres du réseau bancaire "Swift". Y compris des données concernant directement les programmes nucléaires – ou de missiles – de l'Iran, de la Chine, de la Russie et de la Corée du Nord. Ainsi que les vulnérabilités affectant cette fois Windows 10, ce programme emblématique de Microsoft installé à travers le monde sur des dizaines de millions d'ordinateurs personnels. Le ransomware "Wanna Cry", qui a récemment défrayé les chroniques du monde entier en affectant des centaines de milliers de serveurs et de machines informatiques, semble donc n’être qu’un "hors-d’œuvre" en matière d’intrusion numérique... 

Le mystérieux groupe de pirates informatiques "Shadow Brokers", autrement-dit les "courtiers de l’ombre", prétendent être les auteurs de cette action malveillante d’envergure planétaire. Mais qui sont-ils réellement au juste ? Le groupe s’est fait connaître des spécialistes l’an passé, en offrant à la vente des outils de piratage dérobés à la NSA. La fameuse Agence américaine de sécurité nationale, divulguant sans vergogne à l’époque, et dans la foulée de leurs méfaits, quelques bribes de code prouvant par la même qu’ils étaient bien en possession du matériel ainsi dérobé. Les experts, qui se sont penchés sur l’étude de cette affaire peu commune, ont depuis estimé que ces outils sont authentiques et qu’ils émaneraient bien d’une unité ultra-secrète de la NSA baptisée "Equation Group". Figurait notamment celui que l’Agence de renseignement anglo-saxonne utilisait pour exploiter une faille du système d’exploitation Windows de Microsoft, et qui a été mis à contribution pour mener l’attaque mondiale vendredi dernier, par le désormais célèbre programme malveillant "Wanna Cry". Comble du paradoxe, dans un message revanchard ouvertement provocateur, le groupe a reproché à cette unité spéciale de la NSA – "l’Equation Group" – de ne pas avoir alerté les concepteurs de logiciels comme Microsoft, des vulnérabilités nichées au sein de leurs propres produits. Les laissant ainsi exposés aux piratages et autres virus malveillants qu’eux-mêmes ont pu mettre en œuvre... Humour noir ? Sans aucun doute… Le groupe a aussi indiqué que ses futures révélations pourraient être suspendues si la NSA ou un "tiers responsable" rachetait les données volées…

À cette heure, la véracité de leurs propos laisse les experts dans l’expectative. Par ailleurs, certains observateurs avisés soupçonnent déjà en coulisses leurs liens avec le régime nord-coréen du dictateur Kim Jong-Un, ou la Russie. Affaire à suivre…

Sur le modèle économique de plate-formes comme Spotify ou Netflix, le groupe Shadow Brokers envisage de monétiser les informations dont il dispose, en proposant un abonnement mensuel donnant ainsi accès à ces données. Comment expliquer la perte du caractère "sous-terrain" de l'économie traditionnellement associée au hacking ? Qu'est-ce que cela révèle des évolutions qu'a connu ce milieu ces dernières années ?

Surfant sur la récente notoriété de leur forfait, à l’origine de la conception du ransomware WanaCrypt0r2.0, les Shadow Brokers entendent évidemment profiter de cette aubaine pour vendre d’autres outils de piratage dérobés à l’unité ultra-secrète de la NSA baptisée "Equation Group". Leurs visées semblent claires à ce propos. Dans un message très laconique posté très tard mardi soir dernier sur internet, les "Shadow Brokers" indiquaient dans un anglais toujours très approximatif qu’ils accepteront, à partir du mois de juin 2017, des paiements numériques, en échange desquels les "souscripteurs" recevront chaque mois des informations privilégiées sur des méthodes de piratage informatique et des vulnérabilités techniques. Certains de ces "bogues" informatiques pourraient ainsi être diffusés mensuellement, mais dans le cadre spécifique d'un nouveau "modèle d'entreprise" basé très simplement sur l'abonnement des tiers intéressés par ces données. Imitant très clairement à ce stade un "business-model" qui s’est avéré payant et très efficace pour des entreprises emblématiques du web, à l’image de Spotify, Netflix et Blue Apron. Toujours dans ce message truffé d’erreurs orthographiques et syntaxiques, les "Shadow Brokers" ont exposé leurs intentions mercantiles pour monétiser leurs actions délictueuses… Leur business-modèle en quelque sorte… "C’est comme un club mensuel du vin. Des gens peuvent payer un abonnement mensuel, puis recevoir chaque mois des données réservées aux membres. Ce que les membres font avec les données dépend d’eux", a écrit le groupe sur le réseau social Steemit.

Ce positionnement parfaitement "pro-business", minutieusement analysé par les experts en charge du dossier afin d’obtenir des indices sur les intentions futures du groupe incriminé, dénote sans ambages d’une volonté de sophistication commerciale croissante de la part des "Shadow Brokers". Un groupe qui semble avoir démontré à la face du monde une capacité technique redoutable à piller les meilleures agences de renseignements du monde, et à compromettre et infecter des millions de machines via leurs exactions numériques. Ces échanges frauduleux, bien connus des spécialistes qui se déroulaient jusqu’à maintenant à travers les ramifications des profondeurs du web, émergent de leurs "souterrains" digitaux pour tenter de commercialiser et de revendre "à l’air libre" auprès du plus grand nombre, des "bogues informatiques" détectés sur la toile, matérialisant ainsi une volonté de faire émerger et de faire prendre racine un "nouveau type de marché commercial", aux ressorts bien réels, mais aux accents parfaitement frauduleux et criminels. Microsoft n'a pas, pour l’heure, répondu à une demande de commentaire. Auparavant, le groupe des "Shadow Brokers" avait déjà cherché à vendre ses outils de piratage au plus offrant. Dans les faits, peu d'acheteurs se sont présentés au portillon, ont déclaré les pirates sur leur blog. Le groupe précise "regretter que personne n'ait encore acheté les données et outils dérobés aux enchères". Ni The Equation Group (à qui tout cela a été dérobé), ni "The Five Eyes" – autrement dit, l’alliance des services de renseignement du Royaume-Uni, de l'Australie, de la Nouvelle-Zélande, du Canada et des États-Unis – la Russie, la Chine, l'Iran, la Corée, le Japon, Israël, l'Arabie saoudite, l'Onu, l'Otan déplorent le groupe. Cisco, Juniper, Intel, Microsoft, Symantec, Google, Apple, FireEye : aucune de ces sociétés ne s'est montrée, semble-t-il, intéressée. Mais désormais, la mise en place d’un modèle d'abonnement mensuel pourrait signifier que les "bogues" détectés par cette bande pourraient enfin trouver leur chemin jusqu’aux mains du plus grand nombre… Funeste perspective. 

Selon la chercheuse Marcy Wheeler, la nouvelle menace lancée par le groupe Shadow Brokers pourrait raviver les tensions entre Microsoft et le gouvernement fédéral américain.Quel intérêt aurait effectivement les Shadow Brokers à cela ? 

Les Shadow Brokers estiment que les entreprises high-tech américaines sont truffées d’espions de la NSA, Microsoft compris… Mais à leurs yeux, les services russes, chinois, iraniens et israéliens font de même dans les grandes entreprises technologiques mondiales. Les outils publiés par ce groupe de pirates revendiqué sont très sophistiqués et tous les experts en sécurité informatique ont craint, dans un premier temps, que la publication de ces outils, très facilement réutilisables, mette toutes ces failles à la portée d’innombrables pirates potentiels. Introduisant des armes informatiques très puissantes dans les mains de quiconque les télécharge. Beaucoup de spécialistes de la sécurité informatique consultés estiment n’avoir jamais autant vu de failles "zéro day" publiées d’un seul coup. C’est, en outre, le cas de Matthew Hickey, chercheur en sécurité informatique au site The Intercept, cité dans la presse anglo-saxonne.

Si un doute était encore permis sur la valeur réelle du butin dévastateur ainsi subtilisé par les "Shadow Brokers", il est désormais dissipé. Sur le fond, les Shadow Brokers pointent du doigt la responsabilité des gouvernements et des géants du web qui n’ont pas souhaité acquérir leur butin lorsque celui-ci était mis en vente par le biais d’enchères en ligne… Les voici aujourd’hui coupables à leurs yeux de ne pas les avoir pris au sérieux. D’où l’explication de ce changement radical de positionnement, à les entendre. Dans l’une de leur note publiée sur leur blog, ils se moquaient en outre de James "You’re fired" Comey, l’ex directeur du FBI démis par Donald Trump. Ils assurent aujourd’hui avoir encore "beaucoup de choses" en réserve, puisque "75% de l’arsenal cybernétique est américain selon eux. De quoi faire trembler les services de sécurité américains. Pour autant, les autres Etats ne semble pas à l’abri de leur kourou. Ainsi, les Shadow Brokers envisagent aussi de livrer "les petits secrets des grandes nations" à toute personne qui souscrira auprès d’eux un abonnement mensuel. En juin, le groupe affirme qu’il lancera "The Shadow Brokers Data Dump of the Month", une forme de service d’abonnement mensuel qui livrerait à ses bénéficiaires des outils de piratage pour navigateur web, routeurs ou Windows 10 épargné jusqu’ici, mais aussi des données subtilisées au réseau bancaire SWIFT et à des Banques centrales comme nous l’indiquions plus haut. En l’état, la boucle semble bouclée.

Après l’attaque au rançongiciel Wanna Cry repérée vendredi, les chercheurs de la société de sécurité informatique Proofpoint ont découvert une nouvelle attaque de bien plus grande envergure et encore plus rentable, liée à WanaCrypt0r2.0. Celle-ci est appelée, cette fois, "Adylkuzz". Elle utilise, de manière plus furtive encore et à des fins forts différentes, les outils de piratage récemment divulgués par la NSA, et la vulnérabilité désormais corrigée de Microsoft... On ne connaît pas encore l’ampleur exacte des dégâts causés, mais des centaines de milliers d’ordinateurs pourraient avoir été, une fois encore, infectés. Concrètement, ce logiciel malveillant s’introduit dans des ordinateurs vulnérables grâce à la même faille de Windows utilisée précédemment par Wanna Cry. Le malware crée alors, de façon "invisible", des unités d’une monnaie virtuelle parfaitement intraçable appelée "Monero", parfaitement comparable au fameux Bitcoin. Les données numériques, qui permettent d’utiliser ces gains, sont extraits puis envoyées à des adresses cryptées… Le tour est joué !

Le groupe de pirates "Shadow Brokers" s'exprime une dernière fois sur la toile quant à leurs intentions sous-jacentes et leurs prises de positions, suite à la propagation de WanaCrypt0r2.0 : "Nous ne voulons pas voler les économies des grands-mères". "C'est une histoire entre ‘The Shadow Brockers’ et The Equation Group",  cette entité de la NSA (National Security Agency) prise en grippe par les pirates... Un froissement d’égo rivalitaire ? Le fond de l’affaire est peut-être là en définitive… 

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !