Shadow Brokers : des documents d'Edward Snowden suggèrent que les exploits piratés appartiennent à la NSA
L'agence américaine s'abstient de commenter

Le , par Stéphane le calme, Chroniqueur Actualités
Il y a quelques jours, un groupe de pirates qui se font appeler « The Shadow Brokers » a affirmé être parvenu à mettre la main sur des exploits appartenant au groupe « Equation Group », que Kaspersky avait identifié comme étant le « dieu » du cyberespionnage. Sur son site web, The Shadow Brokers a publié un échantillon d’exploits qu’il a pu récupérer, afin de prouver qu’ils avaient effectivement réussi le piratage. La communauté des chercheurs a analysé ces échantillons et nombreux sont ceux qui ont affirmé qu’il s’agit bel et bien d’exploits légitimes. Plus tard, Cisco et Fortinet vont eux aussi jeter un coup d’œil et publier une annonce où ils confirment l’authenticité de ces exploits et invitent leurs clients à effectuer des mises à jour de sécurité.

Si des hypothèses ont indiqué que ce fameux « dieu » du cyberespionnage est en réalité un groupe de pirates soutenus par un État, certains, comme Kaspersky, ont pensé que Equation Group est en réalité rattaché à la NSA, ne manquant pas de s’exprimer avec précaution, sans doute de peur d’inciter à des représailles diplomatiques. Toutefois, la NSA, qui est la victime supposée de ce piratage, s’est bien gardée de formuler un commentaire officiel, évitant ainsi de confirmer ou d’infirmer son lien avec Equation Group.

Pourtant, après le piratage, le quotidien Intercept vient confirmer que, sur la base de documents fournis par Edward Snowden qui n’ont pas encore été publiés, l’arsenal de cyberarmes porte bien la marque de fabrique de la NSA : « la provenance du code a été le centre d’un débat houleux cette semaine au sein de la communauté des experts en sécurité et, bien que la question de savoir comment le piratage a eu lieu demeure encore un mystère, une chose est désormais au-delà de toute spéculation : le logiciel malveillant porte l’empreinte numérique de la NSA et est clairement en provenance de l’agence ». Quelle est cette fameuse empreinte numérique ?

Intercept évoque une instruction émanant d’un manuel d’implantation de logiciel malveillant, qualifié top secret par l’agence, qui a été fourni par Snowden et n’a pas encore été porté à la connaissance du public. « Le projet de manuel indique aux opérateurs de la NSA de suivre leur utilisation d'un programme de logiciel malveillant en utilisant une chaîne spécifique de 16 caractères, "ace02468bdf13579". C’est exactement la même chaîne de caractères qui apparaît sur le code de SECONDDATE qui a été dévoilé par The Shadow Brokers ». Le même nom de code était employé dans les documents fournis par Snowden.



SECONDDATE, qui est décrit comme étant un outil « conçu pour intercepter les requêtes web et rediriger les navigateurs sur des ordinateurs ciblés vers un serveur web de la NSA, lequel va en retour infecter ces ordinateurs », aurait infecté des millions d’ordinateurs de par le monde. « Sa publication par The Shadows Brokers, ainsi que des douzaines d’autres outils malveillants, marque la première fois qu’une copie des logiciels offensifs de la NSA sont portés à la connaissance du public, donnant un aperçu de ce à quoi ressemblent les systèmes complexes décrits dans les documents de Snowden lorsqu’ils sont déployés dans le monde réel, ainsi que des preuves concrètes du fait que les pirates de la NSA n’ont pas toujours le dernier mot en ce qui concerne l’exploitation d’un ordinateur ».

Matthew Green, cryptographe à la Johns Hopkins University, a avancé que « le danger de ces exploits est qu'ils peuvent être utilisés pour cibler toute personne qui se sert d’un routeur vulnérable. C’est comme si vous aviez laissé des outils de crochetage dans la cafétéria d’un lycée. Dans les faits, la situation est pire parce que parmi ces exploits, nombreux sont ceux qui ne sont pas disponibles par d'autres moyens. Alors ce n’est que maintenant que sont informés les constructeurs de pare-feu et de routeurs, qui ont besoin de les corriger, ainsi que les clients qui sont vulnérables.

Ainsi, le risque est double : tout d’abord, la personne ou le groupe de personnes qui ont volé ces informations auraient pu les utiliser contre nous. S’il s’agit bien de la Russie, alors nous pouvons supposer qu'ils ont probablement leurs propres exploits, mais il n'y a pas besoin de leur donner plus. Et maintenant que les exploits ont été publiés, nous courons le risque que les criminels lambda les utilisent contre des entreprises prises pour cibles » .

Source : Intercept


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 20/08/2016 à 15:45
Me dis pas que les Américains ont raison d'espionner leurs alliés ?
Je démontre les faits c'est tous. Je dis pas que c'est bien. C'est comme ca c'est tous. Tu veus faire quoi ? Porter plainte aux tribunal international ?

Soit on défonce tout
Avec quel moyen ? mdrrr Les USA sont loin devant. Dites merci au lois social et a vos RTT...

, soit on est malin et on passe entre les mailles du filet...
Je serai curieux de savoir comment tu pense passer entre les mailles du Filet ? en installant Ubuntu a la place de Windows ? mdrrrrr

Tu veux peut-être faire une infra totalement 'Made in France' sans que la NSA n'y 'participe' ? mdrrrr

Le seul moyen est d’investir MASSIVEMENT dans le numérique. Mais actuellement a part peut être l'Allemagne qui a la mentalité pour y arriver je ne vois pas comment les US pourraient perdre leur domination.

L’Europe doit absolument changer sa vision du numérique et mettre fin a ces 'terroriste sociaux' qui mettent en péril sa souveraineté numérique.

Sinon... WinDev ils en sont ou ?
Avatar de LSMetag LSMetag - Membre expert https://www.developpez.com
le 20/08/2016 à 16:06
Citation Envoyé par Aeson Voir le message
Je démontre les faits c'est tous. Je dis pas que c'est bien. C'est comme ca c'est tous. Tu veus faire quoi ? Porter plainte aux tribunal international ?

Avec quel moyen ? mdrrr Les USA sont loin devant. Dites merci au lois social et a vos RTT...

Je serai curieux de savoir comment tu pense passer entre les mailles du Filet ? en installant Ubuntu a la place de Windows ? mdrrrrr

Tu veux peut-être faire une infra totalement 'Made in France' sans que la NSA n'y 'participe' ? mdrrrr

Le seul moyen est d’investir MASSIVEMENT dans le numérique. Mais actuellement a part peut être l'Allemagne qui a la mentalité pour y arriver je ne vois pas comment les US pourraient perdre leur domination.

Sinon... WinDev ils en sont ou ?
Défoncer tout avec un ordinateur quantique ? Un méga calculateur comme ils en construisent actuellement ? Ca peut se faire. Une attaque bruteforce avec un matériel pas ordinaire, ça existe.
Passer au travers des mailles des filets en étant plus malins que les concepteurs de sécurité peut-être, sans devoiler leurs trucs ? C'est une piste d'apprendre à chercher des failles zero-day...

Un service secret agit en secret. Il n'affiche pas son incompétence comme le fait le FBI. Il y a plusieurs exemple. TrueCrypt (tiens ? Le logiciel qui a mis en échec le FBI n'est plus développé, parce que des failles seraient apparues, bizarre), l'Iphone (on demande à un concepteur de créer des failles dans son système), diverses lois qui veulent réglementer le chiffrage, ...

Je pense qu'on ferait mieux de la fermer pour ne pas faire de pub aux outils que les services secrets n'arrivent pas à cracker.

Un pays, comme la France, a tout à fait le droit de vouloir ne pas être espionné, pour ne pas qu'on récupère des secrets industriels ou d'Etats. La Chine le fait, elle nationalise toute son infrastructure.

Concernant Linux ou autre, si tout le monde peut jeter un oeil au code source, une backdoor serait tout de suite signalée, et corrigée par ces personnes, au moins en local. Donc les backdoor dans de l'Open Source, c'est compliqué...
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 20/08/2016 à 16:17
si tout le monde peut jeter un oeil au code source, une backdoor serait tout de suite signalée
Arrete de rever... 15 ans pour découvrir la faille dans OpenSSL. Ce qu'un test unitaire ou un Code Analyzer aurait pu trouver. Encore plus pour BASH.

Les codes review dans le libre c'est un rêve. Les moyens n'y sont pas. Par contre ceux qui en ont les moyen (la NSA par exemple) on tchamp libre et ne sont pas obligé de dévoiler leurs découvertes... (C'est le sujet de cet article et de Snowden...)

Un pays, comme la France, a tout à fait le droit de vouloir ne pas être espionné
Bin faut leur demander alors... mdrrr . Svp ne nous espionné pas... svp ...

Le contre espionnage a besoin de moyens.. pas de priere. Et en plus ca pourrait inverser la courbe du chômage en France. La aussi.. apparemment Hollande n'aurait 'pas eu de chance avec le chômage'...

Je sais pas.. si vous comptez sur la chance il y a aussi Lourdes. Vous pouvez toujours aller y mettre une bougie pour demander au 'tous puissant' que la NSA ne vous espionne pas...
Avatar de LSMetag LSMetag - Membre expert https://www.developpez.com
le 20/08/2016 à 22:11
Citation Envoyé par Aeson Voir le message
Arrete de rever... 15 ans pour découvrir la faille dans OpenSSL. Ce qu'un test unitaire ou un Code Analyzer aurait pu trouver. Encore plus pour BASH.

Les codes review dans le libre c'est un rêve. Les moyens n'y sont pas. Par contre ceux qui en ont les moyen (la NSA par exemple) on tchamp libre et ne sont pas obligé de dévoiler leurs découvertes... (C'est le sujet de cet article et de Snowden...)
Il y a des projets plus contrôlés que d'autres par des personnes plus compétentes que d'autres. Tout dépend de l'implication de certains dans un projet. Ca ne veut pas dire qu'on peut faire n'importe quoi. Et ça ne veut pas dire que c'était un backdoor.

Citation Envoyé par Aeson Voir le message
Bin faut leur demander alors... mdrrr . Svp ne nous espionné pas... svp ...

Le contre espionnage a besoin de moyens.. pas de priere. Et en plus ca pourrait inverser la courbe du chômage en France. La aussi.. apparemment Hollande n'aurait 'pas eu de chance avec le chômage'...

Je sais pas.. si vous comptez sur la chance il y a aussi Lourdes. Vous pouvez toujours aller y mettre une bougie pour demander au 'tous puissant' que la NSA ne vous espionne pas...
Tu fais une fixette sur la France et Hollande. Oui, il faut mettre les moyens si on ne veut pas être espionné.

1) Utiliser des trucs moins sujets aux backdoors dans les administrations (du libre)
2) Investir pour auditer et mettre à jour les systèmes d'information
3) Créer et utiliser ses propres solutions maison : 1 fork d'un linux Debian ou d'un Tails Linux, utilisation de PGP pour les mails, téléphones privés chiffrés de bout en bout à la mode Télégram,...
4) Continuer à investir dans la formation des services secrets.

On a déjà commencé à faire migrer les administrations vers le libre, on a rétabli les Renseignements Généraux (supprimés par Sarkozy).
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 20/08/2016 à 22:42
Tout dépend de l'implication de certains dans un projet.
Tous dépend des moyens mis a disposition... et on ne peut pas dire que le libre a les même budget...

Utiliser des trucs moins sujets aux backdoors dans les administrations (du libre)
Quand est-ce que vous allez comprendre que le libre n'est pas plus secure que le reste... En plus il est beaucoup plus cher a maintenir et les compétences sont beaucoup plus difficile a trouver....

Faut arreter de rever et redescendre sur terre de temp en temp....

Pendant 15 ans vous vous etes dit mon Linux est secure.. alors qu'il y avait OpenSSL qui pouvait tous laisser passer en clair...

Et je ne parle que d'OpenSSL...

On a déjà commencé à faire migrer les administrations vers le libre
Et combien s'en sont mordu les doigts a cause des cout de maintenance et de compatiblité ??

Regardez les parts de marche. Meme en entreprise Windows Server a 90% du marche.... Il n'y a même pas d'alternative valable a Active Directory... et ne parlons meme pas d'ADFS et d'integration Cloud
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 21/08/2016 à 1:14
Shadow Brokers : la NSA a pu espionner le trafic chiffré de nombreux clients Cisco pendant une décennie,
d'après l'analyse d'un exploit

Un groupe de pirates, qui se font appeler « The Shadow Brokers », a annoncé avoir pu mettre la main sur des exploits appartenant au groupe « Equation Group », que Kaspersky avait identifié comme étant le « dieu » du cyberespionnage. Par la suite, des documents de l’ancien contractuel de la NSA Edward Snowden, ont permis à Intercept de trouver des traces de la signature numérique de la NSA dans l’échantillon des exploits publié par The Shadow Brokers, lui permettant d’apporter des éléments de preuve à une hypothèse qui avait déjà été formulée depuis des années : la NSA est derrière Equation Group.

Lorsque les exploits ont été publiés, Cisco et Fortinet, qui ont eux jeter un coup d’œil au même titre que de nombreux chercheurs dans la communauté de la sécurité informatique, ont publié des annonces dans lesquelles ils ont confirmé l’authenticité de ces exploits et ont invité leurs clients à effectuer des mises à jour de sécurité.

Si les révélations d’Edward Snowden sur les exactions de la NSA avec ses programmes d’espionnage semblaient très théoriques, The Shadow Brokers vient apporter des preuves plus tangibles sur l’étendue de la surveillance de la NSA, notamment sur le fait que l’agence a pu espionner systématiquement de nombreux clients de Cisco Systems pendant une décennie. Parmi les exploits publiés, des chercheurs en sécurité ont découvert par exemple une attaque qui extrait à distance les clés RSA de déchiffrement sur les lignes du pare-feu PIX de l’entreprise qui sont désormais abandonnées. Pour rappel, Cisco PIX (Private Internet EXchange) est un boîtier pare-feu vendu par Cisco Systems.

La découverte est relativement importante dans la mesure où le code d’attaque, qui a été baptisé BENIGNCERTAIN a été lancé sur les versions Cisco PIx datant de 2002 jusqu’à la version datant de 2009. Et, bien que Cisco ait fourni un correctif de sécurité en juillet 2009, l’entreprise a continué à offrir un service et un support limité pour le produit durant quatre années supplémentaires. À moins que les clients PIX n’aient pris des précautions particulières, théoriquement la quasi-totalité d’entre eux ont été vulnérables à des attaques conduisant à l’espionnage sur leur trafic VPN. En plus de permettre l’espionnage du trafic VPN chiffré, l’extraction de clés permet également d’avoir un accès complet à un réseau vulnérable en se faisant passer pour un utilisateur distant.

Un chercheur s’est lancé dans l’explication du code et trois autres chercheurs ont confirmé que l’exploit fonctionnait effectivement sur des installations PIX. Comme l’explique le chercheur Mustafa Al-Bassam, l’exploit consiste en trois binaires, chacun représentant une étape individuelle dans le processus d’exploitation. Il a donné un peu plus de détails sur le fonctionnement de l’exploit. Après son analyse, il a avancé que « cela montre que la NSA avait la capacité d’extraire à distance des clés confidentielles des VPN de Cisco pendant plus d’une décennie ». Et, faisant référence aux documents publiés par Edward Snowden, il a continué en disant que « cela explique la raison pour laquelle ils ont été en mesure de déchiffrer des milliers de connexions VPN par minute comme cela est indiqué dans les documents précédemment publiés par Der Spiegel ».

BENIGNCERTAIN exploite une vulnérabilité dans l'implémentation de Cisco de l'Internet Key Exchange (IKE), un protocole qui utilise des certificats numériques pour établir une connexion sécurisée entre deux parties. L'attaque envoie des paquets malveillants à un dispositif PIX vulnérable. Les paquets obligent le dispositif vulnérable à retourner une partie de la mémoire. Un outil d'analyse syntaxique inclus dans l'exploit est alors en mesure d'extraire des données de clés et d'autres configurations prépartagées du VPN sur la réponse. Selon l’un des chercheurs qui ont aidé à confirmer l’authenticité de l'exploit, il travaille à distance, sur l'interface extérieure de PIX. Cela signifie que toute personne sur internet peut l'utiliser. Aucun prérequis n’est nécessaire pour faire fonctionner l’exploit. Fait encore plus intéressant, le Cisco ASA (Adaptive Security Appliance), le pare-feu qui est venu remplacer le PIX, présentait la même vulnérabilité IKE qui a été colmatée il y a seulement quelques mois et était considérée par l’équipementier comme étant critique. Voici une capture envoyée par le chercheur pour montrer le résultat final de l’attaque.


Il faut noter que le moteur de recherche Shodan indique que plus de 15 000 réseaux de par le monde continuent de se servir de PIX, la Russie, les États-Unis et l’Australie étant en tête des pays qui les utilisent le plus.

Cisco, qui était resté silencieux suite à cette révélation et se contentait d’évoquer une politique de fin de vie, a été obligé de modifier un billet de blog qu’il avait précédemment rédigé. Dans la mise à jour, Cisco indique « le 19 août, des articles de presse concernant l'exploit BENIGNCERTAIN qui aurait potentiellement été utilisé pour exploiter les pare-feu existants Cisco PIX ont été publiés. Notre enquête à ce jour n'a pas identifié de nouvelles vulnérabilités dans les produits actuels liés à l'exploit. Même si le Cisco PIX n’est pas pris en charge et n'a pas été pris en charge depuis 2009 (voir avis EOL / EOS), par souci pour les clients qui utilisent encore PIX, nous avons étudié cette question et avons trouvé que les versions PIX 6.x ainsi que les versions précédentes sont affectées. les versions PIX 7.0 et les versions ultérieures ne sont pas affectées par BENIGNCERTAIN. Le Cisco ASA n’est pas vulnérable ».

Source : blog Cisco, blog Cisco (avertissement de sécurité sur IKE), blog Mustafa Al-Bassam, Shodan, Kevin Beaumont, XORcat (capture d'écran), Brian
Avatar de BufferBob BufferBob - Expert éminent https://www.developpez.com
le 21/08/2016 à 12:53
Citation Envoyé par Stéphane le calme Voir le message
(...) plus de 15 000 réseaux de par le monde continuent de se servir de PIX, la Russie, les États-Unis et l’Australie étant en tête (...)
et la France aussi.
Avatar de redcurve redcurve - Membre averti https://www.developpez.com
le 21/08/2016 à 13:04
Citation Envoyé par Aeson Voir le message
Tous dépend des moyens mis a disposition... et on ne peut pas dire que le libre a les même budget...

Quand est-ce que vous allez comprendre que le libre n'est pas plus secure que le reste... En plus il est beaucoup plus cher a maintenir et les compétences sont beaucoup plus difficile a trouver....

Faut arreter de rever et redescendre sur terre de temp en temp....

Pendant 15 ans vous vous etes dit mon Linux est secure.. alors qu'il y avait OpenSSL qui pouvait tous laisser passer en clair...

Et je ne parle que d'OpenSSL...

Et combien s'en sont mordu les doigts a cause des cout de maintenance et de compatiblité ??

Regardez les parts de marche. Meme en entreprise Windows Server a 90% du marche.... Il n'y a même pas d'alternative valable a Active Directory... et ne parlons meme pas d'ADFS et d'integration Cloud
Alors pour avoir bosser sur un projet d'info militaire ils ont essayés d'utiliser OpenLDAP et différentes solutions libre alors c'est gratuit, ça plante très souvent (OpenLDAP surtout est une vaste blague) bref il n'y a rien de fiable. Conclusion, retour sous Windows avec AD et tout le toutim, simple et fiable et quelques millions économisé au passage rien qu'en récupération de temps de maintenance à la con.
Avatar de marsupial marsupial - Membre chevronné https://www.developpez.com
le 21/08/2016 à 14:28
Bercy, 100% MS. Personne pour se rendre compte que la Chine à pompé très discrètement toutes les informations financières et comptables de 100% des entreprises opérant en France. Mais il s'agit certainement de la faute de linux.
Et non, ils ne sont pas en Cloud.
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 21/08/2016 à 14:50
Car tu pense vraiment que si ils avaient eu Linux ca ne serait pas arrive ?? Mdrrrr arrete de rever....
Contacter le responsable de la rubrique Accueil