Shadow Brokers : un autre « Edward Snowden » serait-il à l'origine de la fuite ?
La théorie d'un dénonciateur en interne semble plus plausible

Le , par Michael Guilloux, Chroniqueur Actualités
Qui est ce groupe Shadow Brokers qui aurait piraté la NSA et mis aux enchères son arsenal d’espionnage, y compris des failles de sécurité existantes dans les systèmes de certaines entreprises ? Jusqu’ici, la Russie était soupçonnée d’être à l’origine de cette fuite, comme Edward Snowden tendait à conclure dans son analyse des faits. Mais il semble à présent qu’il s’agisse d’une fuite venant de l’intérieur plutôt que d’un piratage externe.

Il ne faudra peut-être plus beaucoup de temps avant de démasquer les Shadow Brokers. De nombreux indices depuis le début des analyses laissent en effet croire qu’un second « Edward Snowden » pourrait être derrière la vente des outils de la NSA. Mais pourquoi la piste d’un autre employé de la NSA serait-elle plus plausible ?

D’abord, les analyses de Shlomo Argamon, professeur et directeur du programme de master en sciences de données à l'Illinois Institute of Technology, montrent que celui ou ceux qui se cachent derrière les Shadow Brokers pourraient être plus proches de la NSA que l’on pourrait le penser et non des attaquants venant de loin comme la Russie. Après avoir fait une analyse linguistique des messages postés par les Shadow Brokers, en supposant qu’il s’agit d’une seule et même personne, Argamon arrive à la conclusion selon laquelle l’auteur serait un anglophone qui essaierait de se faire passer pour quelqu’un qui n’a pas l’anglais pour langue maternelle, logiquement pour essayer de brouiller les pistes. Ce qui peut, du coup, remettre en cause la piste de pirates russes.

D’anciens agents de la NSA, qui ont décidé de rester dans l’anonymat, vont plus loin dans leur analyse et pensent que la fuite viendrait de l’intérieur même. « Mes collègues et moi sommes presque certains que ce n'était pas un hack, ou un groupe », c’est ce qu’a déclaré l'un d'entre eux au site Motherboard. Ce dernier exerçait en tant qu’analyse en cyber intrusion à l’agence. « Ce personnage [derrière] ‘Shadow Brokers’ est un seul gars, un employé en interne », dit-il. Il pense en effet que ce serait beaucoup plus facile pour une personne en interne de voler les données, comme l’a fait Snowden, que pour une personne à l’extérieur de pouvoir les obtenir, même la Russie. En fait, il explique que « les conventions de nommage des répertoires de fichiers, ainsi que certains des scripts dans la fuite étaient accessibles uniquement depuis l’intérieur », parce que stockés sur une machine physiquement isolée du réseau. Ils seraient donc inaccessibles à toute personne non physiquement présente dans le bâtiment de la NSA.

Il tenait surtout à amener les gens à ne pas garder leurs regards sur la Russie alors qu’il est plus plausible que ce serait une personne comme lui, qui travaille ou qui a travaillé à la NSA, qui serait à l’origine de la fuite. « Nous sommes à 99,9 pour cent sûrs que la Russie n'a rien à voir avec cela et même si toutes ces spéculations sont plus sensationnelles dans les médias, la théorie de l'employé en interne ne doit pas être rejetée. Nous pensons qu'elle est plus plausible… Je sens une responsabilité personnelle de proposer la théorie la plus plausible en mon nom et [au nom] du reste des gars comme moi ».

Un autre ancien agent de la NSA également couvert par l’anonymat a également validé cette théorie, estimant qu’il est beaucoup plus facile de sortir de la NSA avec une clé USB ou un CD contenant ces données que de pirater les serveurs de l’agence.

Il est également important de noter, comme l’indique le magazine scientifique international New Scientist, que les outils de la NSA auraient été volés autour d’octobre 2013, soit cinq mois après que Snowden s’est réfugié à Hong Kong. Cela confirme le fait que si c’est un employé de la NSA, c’est peut-être alors un autre qui a été inspiré par le courage d’Edward Snowden.

Sources : Shlomo Argamon, Motherboard, New Scientist

Et vous ?

Que pensez-vous de la théorie d’un autre Snowden ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de yento yento - Membre émérite https://www.developpez.com
le 27/08/2016 à 14:17
Citation Envoyé par LSMetag Voir le message
A moins que les failles vendues ne soien'y déjà résolues ^^
La résolution a peu d'importance, spécialement quand ça touche a du matériel type cisco/pix.

Les vieux matériels sont end-of-life, ne sont plus en vente ni supportés depuis un moment et ne seront pas corrigés. Les nouveaux encore supportés auront un patch, mais encore faut il qu'un sysadmin aille ressortir le matériel poussiéreux du placard et applique le patch.

Si on oublie Google et la NSA un instant. La majorité des TPE-PME gardent leur matériel tel quel et seront vulnérables pendant les 10 prochaines années en moyenne.
Avatar de Madmac Madmac - Membre éclairé https://www.developpez.com
le 27/08/2016 à 22:31
Quand on sait comme recrute la NSA recrute les 'black hats", cela me surprendrait pas que le problème soit interne.
Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 30/08/2016 à 22:07
Que pensez-vous de la théorie d’un autre Snowden ?
Cela reste tout à fait plausible et déjà évoqué lors d'autres révélations d'informations. Dans ce cas là, je dirai qu'il n'y en a sans doute pas un seul gars, mais 2 ou 3 ou plus.
Et vu la quantité d'outils utilisés par la NSA, ce ne sera alors sans doute pas la dernière de nos surprises.
En poussant le raisonnement dans cette voie, on pourrait réaliser que rien n'est réellement à l'abri des regards avec toutes les conséquences que cela implique.
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 20/09/2016 à 11:02
Shadow Brokers : l'exploit BENIGNCERTAIN, qui était supposé n'affecter que les pare-feu Cisco PIX,
fonctionne également sur des modèles plus récents

En août, un groupe de pirates qui se fait appeler « The Shadow Brokers » a affirmé être parvenu à mettre la main sur des exploits appartenant au groupe « Equation Group », que Kaspersky avait identifié comme étant le « dieu » du cyberespionnage. Sur son site web, The Shadow Brokers a publié un échantillon d’exploits qu’il a pu récupérer, afin de prouver qu’il avait effectivement réussi le piratage.

Parmi ces échantillons figuraient certains comme BENIGNCERTAIN, un outil pour extraire les clés VPN des pare-feu Cisco PIX, les modèles précédents le Cisco ASA. BENIGNCERTAIN exploite une vulnérabilité dans l'implémentation de Cisco de l'Internet Key Exchange (IKE), un protocole qui utilise des certificats numériques pour établir une connexion sécurisée entre deux parties. L'attaque envoie des paquets malveillants à un dispositif PIX vulnérable. Les paquets obligent le dispositif vulnérable à retourner une partie de la mémoire. Un outil d'analyse syntaxique inclus dans l'exploit est alors en mesure d'extraire des données de clés et d'autres configurations prépartagées du VPN sur la réponse.

Suite à cette divulgation, des chercheurs en sécurité se sont laissés aller à des tests pour vérifier que l’exploit fonctionne sur les équipements de Cisco. Mais ils ne se sont arrêtés qu’aux anciennes versions de Cisco PIX étant donné que des indices dans le code source de l’exploit laissaient penser qu’il ne fonctionnerait que sur ces dispositifs.

Pendant ce temps, Cisco a effectué des tests en interne de ce même exploit et a indiqué que certains modèles récents sont vulnérables.


« Une vulnérabilité dans le paquet Internet Key Exchange version 1 (IKEv1) traitant le code dans les logiciels Cisco IOS, Cisco IOS XE et Cisco IOS XR pourrait permettre à un attaquant distant non authentifié de récupérer le contenu de la mémoire, ce qui pourrait conduire à la divulgation d'informations confidentielles.

La vulnérabilité est due à l'insuffisance des vérifications de contrôles dans la partie du code qui gère les demandes de négociation de sécurité IKEv1. Un attaquant pourrait exploiter cette vulnérabilité en envoyant un paquet IKEv1 modifié à un périphérique affecté configuré pour accepter les demandes de négociation de sécurité IKEv1. Une exploitation réussie pourrait permettre à l'attaquant de récupérer le contenu de la mémoire, ce qui pourrait conduire à la divulgation d'informations confidentielles.

Cisco publiera des mises à jour de logiciels qui répondent à cette vulnérabilité. Il n'y a aucune solution de contournement qui traite de cette vulnérabilité », indiquait l’équipementier le 16 septembre dernier. Parmi les produits affectés figurent les branches 4.3.x, 5.0.x, 5.1.x et 5.2.x de Cisco iOS XR. Toutes les versions de Cisco iOS XE sont affectées. En attendant de proposer un correctif, l'équipementier invite les administrateurs à mettre en œuvre un système de prévention d'intrusion (IPS) ou un système de détection d'intrusion (IDS) pour aider à détecter et à prévenir les attaques qui tentent d'exploiter cette vulnérabilité. Cisco recommande aux administrateurs de surveiller les systèmes affectés.

Lorsque Shadow Brokers a publié les échantillons de code, Cisco était parmi les premiers équipementiers à fournir des correctifs notamment à des exploits comme EPICBANANA (un exploit pour une élévation de privilège sur Cisco ASA), JETPLOW (un implant Cisco ASA et PIX utilisé pour insérer BANANAGLEE dans le firmware du dispositif) et EXTRABACON (un exploit permettant une exécution à distance de code sur Cisco ASA). D’autres équipementiers ont également fourni des correctifs pour colmater les failles exploitées par les outils.

Mustapha Al-Bassam, l’un des chercheurs qui a participé à la vérification de l’authenticité des exploits publiés par Shadow Brokers, s’est indigné : « la NSA s’est servi d’un exploit zero day pour récupérer à distance les clés VPN de pare-feu Cisco pendant quatorze ans ». Et de réclamer par la suite que « pour changer, nous pouvons fonder un institut national de chercheurs qui trouvent et rapportent des vulnérabilités critiques, au lieu d’en profiter ».


Source : Cisco, tweet Mustapha Al-Bassam
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 26/09/2016 à 13:28
Shadow Brokers : la NSA avait oublié son arsenal sur un serveur distant
après une opération d’espionnage il y a trois ans

Qui se cache derrière le piratage des outils d’espionnage de la NSA, y compris des failles de sécurité existantes dans les systèmes de certaines entreprises ? Jusqu’ici, aucun communiqué officiel n’a été fait pour répondre à cette question. Mais d’après le quotidien Reuters, un ancien employé de la NSA aurait par inadvertance donné un coup de main à des pirates. Le comble, l’agence américaine de sécurité nationale savait depuis trois ans que leurs données avaient été exposées et piratées, mais a préféré garder le silence.

Après la fuite qui a été divulguée à la mi-août par un « groupe » de pirates se faisant appeler les Shadow Brokers, la Russie a été immédiatement pointée du doigt, une hypothèse confortée par l’analyse des faits selon Edward Snowden. Fin août, la théorie d’un dénonciateur en interne a été ensuite émise. D’abord avec les analyses de Shlomo Argamon, professeur et directeur du programme de master en sciences de données à l'Illinois Institute of Technology, et ensuite avec les témoignages d’anciens agents de la NSA.

Les analyses linguistiques des messages postés par les Shadow Brokers, par Shlomo Argamon, ont montré que celui ou ceux qui se cachent derrière les Shadow Brokers pourraient être plus proches de la NSA que l’on pourrait le penser et non des attaquants venant de loin comme la Russie. En supposant qu’il s’agit d’une seule et même personne, Argamon est arrivé à la conclusion selon laquelle l’auteur serait un anglophone qui essaierait de se faire passer pour quelqu’un qui n’a pas l’anglais pour langue maternelle, logiquement pour essayer de brouiller les pistes.

D’anciens agents de la NSA ont quant à eux défendu l’hypothèse d’un autre Edward Snowden, étant donné que certains des fichiers qui ont été divulgués étaient accessibles uniquement depuis l’intérieur de la NSA, parce que stockés sur une machine physiquement isolée du réseau de l’agence. Ils seraient donc inaccessibles à toute personne non physiquement présente dans le bâtiment de la NSA.

Alors que l’enquête conduite par le FBI suit son cours, plusieurs sources proches de cette affaire ont révélé séparément au quotidien Reuters qu’un employé de NSA serait bien à l’origine de la fuite, mais pas en tant que dénonciateur comme Edward Snowden. D’après les sources, les responsables de la NSA ont reconnu qu’un agent aurait par mégarde laissé les outils d’espionnage sur un serveur distant il y a trois ans, après une opération dans laquelle l’agence avait elle-même utilisé les outils en question. L’arsenal de cyber espionnage aurait ensuite été découvert par des pirates russes. L’enquête ne dit toutefois pas si ces pirates sont affiliés au gouvernement russe.

D’après les sources de Reuters, l’employé de la NSA qui a commis cette erreur avait reconnu sa faute peu de temps après, mais l’agence n'a pas informé les entreprises du danger quand elle a découvert l'exposition de ses outils. La NSA a préféré se concentrer sur la surveillance du trafic dans le but d’intercepter une éventuelle utilisation des outils piratés par des adversaires étrangers avec de fortes activités de cyber espionnage, comme la Chine ou la Russie. « Cela aurait pu aider [la NSA] à identifier les cibles de piratage des puissances rivales, et les emmener à mieux se défendre. Cela pourrait aussi permettre aux responsables US de voir plus profondément dans les opérations de piratage rivales tout en permettant à la NSA elle-même de continuer à utiliser les outils pour ses propres opérations », rapporte le quotidien Reuters.

La NSA devait donc choisir entre la quantité d’informations précieuses qu’elle pourrait récolter en gardant la menace secrète, et les risques auxquels sont exposés les entreprises et individus alors que des parties adverses tenteront d’exploiter les failles en leur possession. Et comme le montrent les faits, l’agence nationale de sécurité US a préféré laisser les entreprises et organisations exposées, dans le but d’avoir plus d’informations sur les attaques adverses.

Il faut également préciser que l’enquête n’exclut pas le fait que l’employé de la NSA qui a exposé les outils d’espionnage de l’agence l’ait fait de manière délibérée. Ce dernier aurait par la suite quitté l’agence pour d’autres raisons. Les sources révèlent encore que plus d’une personne à la NSA a commis des erreurs similaires.

Source : Reuters

Et vous ?

Qu’en pensez-vous ?
Avatar de Matthieu Vergne Matthieu Vergne - Expert éminent https://www.developpez.com
le 26/09/2016 à 14:32
Ou comment fabriquer un ennemi pour justifier son salaire.
Avatar de hotcryx hotcryx - Membre extrêmement actif https://www.developpez.com
le 26/09/2016 à 16:06
Ils espionnent le monde entier, ils laissent des codes sur des serveurs, la Clinton n'utlise pas des serveurs dédiés sécurisés mais c'est toujours la faute des hackers et plus précisement des hackers russes.

Ca va mal finir tout ça, mais ce n'est JAMAIS la faute des américains (le sauveur du monde auto proclamé).

Ne manquez pas ce soir la confrontation entre Trump & Hillary
Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 26/09/2016 à 16:55
Excusez nous d avoir laisse trainer une tete nucleaire. Mais on ne vous dit rien pour savoir qui va l utiliser pour savoir qui l a recuperee.
Avatar de ALT ALT - Membre chevronné https://www.developpez.com
le 29/09/2016 à 9:52
Euh...
Reuters est un quotidien, maintenant ?
Il y a quelques semaines, c'était encore une agence de presse, au même titre que Tass, AFP...
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 01/11/2016 à 13:24
Shadow Brokers publie une liste de serveurs qui ont été utilisés par la NSA,
pour ses opérations d'espionnage avec Equation Group

Pour Halloween, Shadow Brokers, le collectif qui a publié une liste d’outils dont la NSA se serait servis pour mener diverses opérations d’infiltration et d’espionnage, a encore fait d’autres révélations. Après avoir fait un petit discours, mélange d’actualité politique (notamment les élections présidentielles aux Etats-Unis), pouvoir d’achat, guerre numérique et bien d’autres, le collectif a donné accès à un lien, mot de passe à la clé, pour les chercheurs désireux de mettre le grappin sur ces nouveaux éléments.

Selon des analyses de deux chercheurs indépendants, les données publiées par Shadow Brokers contenaient 352 adresses IP distinctes et 306 noms de domaine qui auraient été piratés par la NSA. Les horodateurs inclus dans les fichiers indiquent que les serveurs ont été ciblés entre le 22 août 2000 et le 18 août 2010. Parmi les adresses ciblées figurent 32 domaines .edu et 9 domaines .gov. Au total, les attaques ont été lancées dans 49 pays, les 10 pays les plus ciblés étant la Chine, le Japon, la Corée, l'Espagne, l'Allemagne, l'Inde, Taiwan, le Mexique, l'Italie et la Russie.

En France, nous pouvons signaler la présence de plusieurs domaines appartenant à l’opérateur Colt. « De nombreuses missions sur vos réseaux sont venues et viennent encore de ces adresses IP », a affirmé Shadow Brokers. Pour rappel, plusieurs conjectures rattachent Equation Group, surnommé il y a quelques années par Kaspersky comme étant « le dieu de l’espionnage », à la NSA.

Les fichiers fournissent également d’autres données. Parmi elles, des configurations d’une boîte à outils qui n’a pas encore été déterminée mais qui a servi à pirater des serveurs exécutant des systèmes d’exploitation Unix. Selon les premières analyses des chercheurs, plusieurs de ces serveurs compromis fonctionnaient sous Solaris, qui a connu sa période de gloire au début des années 2000. Linux et FreeBSD figurent également dans la liste.

« Si nous nous fions à ces données, alors elles peuvent contenir une liste d'ordinateurs qui ont été ciblés pendant cette période », a assuré Hacker House, une entreprise fournissant des services de sécurité. « Une brève analyse Shodan de ces hôtes indique que certains des hôtes affectés sont toujours actifs et exécutent le logiciel identifié. Ces hôtes peuvent encore contenir des artefacts d’Equation Group et doivent être soumis à des procédures de traitement des incidents ».

Les domaines et adresses IP semblent appartenir à des entreprises / organisations qui ont été piratées par la NSA. D’après les affirmations de Shadow Brokers lundi, une fois qu'elles ont été compromises, certaines d'entre elles ont peut-être été utilisées pour attaquer d'autres cibles de la NSA. Si cela est vérifié, la liste pourrait aider d'autres entreprises / organisations à déterminer qui peut avoir été derrière les interactions suspectes qu'elles avaient avec les serveurs figurant dans la liste. La possibilité que certains des serveurs piratés aient été utilisés pour attaquer d'autres sites a été soulevée par les chercheurs suite à une discussion portant sur un outil appelé pitchimpair qui désigne « des redirecteurs phares d’Equation Group » selon Shadow Brokers. Il faut rappeler qu’en général, les redirecteurs sont utilisés pour diriger subrepticement un utilisateur d'un domaine vers un autre. « Ainsi la NSA pirate des machines depuis des serveurs compromis en Chine ou en Russie. C’est pourquoi l’attribution (des attaques, NDLR) est si difficile », a commenté le chercheur Mustafa Al-Bassam sur Twitter.

Source : Shadow Brokers, Hacker House, Flash Point, liste des noms de serveurs (document Excel)
Contacter le responsable de la rubrique Accueil