Quels dégâts les outils NSA dévoilés peuvent-ils encore causer?

© iStock
Els Bellens

Le collectif de pirates TheShadowBrokers défraie de temps à autre la chronique avec de bizarres mises aux enchères de virus et d’outils qu’il a réussi à dérober directement à la NSA. Mais quel est en réalité le degré de dangerosité de ces caches? Un mois après la dernière fuite, des experts en sécurité dressent un bilan.

Même dans le flux des communiqués de presse incessants faisant état de failles sécuritaires, de nouvelles menaces et de vulnérabilités ‘zero day’ nouvellement découvertes, une histoire a davantage frappé l’imagination. En août dernier, un collectif de pirates appelé TheShadowBrokers a réussi à mettre la main sur une série d’outils et de programmes mal intentionnés (exploits) développés par la NSA, le service secret américain qui a notamment pour tâche de d’espionner le web. Le collectif tenta ensuite de les vendre pour un montant incroyablement élevé dans le cadre d’enchères qui se soldèrent finalement par un échec. TheShadowBrokers se résolurent alors de jeter en pâture sur internet une partie des outils mis au point par la NSA.

Les pirates répétèrent l’opération en janvier et en avril, cette fois accompagnée par un long, message étrange posté sur le site web Medium, dans lequel ils affirmaient être des fans déçus de Trump. Le message est bourré de fautes grammaticales et de charabia d’extrême droite, le genre d’article que l’on qualifie vite sur internet ‘d’émanant d’un esprit tordu qui veut vider son sac’. Le problème ici, c’est que le sac contient une série de programmes mal intentionnés dangereux.

Faut-il avoir peur?

En raison du marketing bizarre du collectif, le contenu réel de leurs caches est par moments relégué au second plan. Qu’y trouve-t-on réellement? Divers experts en sécurité ont examiné entre-temps chaque nouvelle série d’outils, pour tenter de savoir comment des hackers pourraient les exploiter.

En janvier, TheShadowBrokers larguèrent par exemple sur le net une série de maliciels (malware) qui contenaient entre autres des outils permettant d’esquiver des logiciels antivirus de premier plan tels ceux de Kaspersky, Symantec, McAfee et Trend Micro. Dans ce cache, on trouvait aussi un moyen sophistiqué de supprimer des lignes d”event logs’, à savoir des journaux qui sont souvent utilisés pour savoir si un ordinateur a été infecté et comment.

Le cache d’avril contenait quelques fuites pour produits Microsoft. Les programmes mal intentionnés s’appellent Eternalromance, Eternalchamption, Eternalblue, etc. et exploitent des bugs dans le système d’exploitation et dans Windows Server notamment. Ces brèches ont été entre-temps colmatées, selon le fabricant lui-même. Quatre d’entre elles ont été actualisées dans une mise à jour envoyée par Microsoft un mois avant que l’exploit kit soit mis en ligne. Les ordinateurs qui ont gardé intact leur Windows Firewall et sont restés actualisés, devraient donc être sûrs. Détail piquant: les outils en question seraient entre autres utilisés par la NSA pour avoir accès à la base de données SWIFT, qui règle les échanges financiers entre les banques.

A propos de panique et de kernels

Malgré les froncements de sourcils politiques, il n’est donc pas question de paniquer massivement, même si la prudence s’impose. L’outil DoublePulsar, par exemple, qui a été dévoilé en avril, tourne en mode ‘kernel’ sur une couche en-dessous du système d’exploitation. Il pourrait offrir aux pirates pas mal de contrôle sur un ordinateur, comme l’explique Sean Dillon, senior analyst au sein de la firme de sécurité RiskSense Inc., à l’agence Bloomberg. Selon lui, le risque, c’est que chaque nouvelle famille de malware intègre les techniques de ce DoublePulsar dans ses outils.

BinaryEdge, une firme de sécurité suisse, signale entre-temps avoir trouvé en l’espace d’un mois environ 428.827 infections DoublePulsar en scannant des ordinateurs connectés à internet. Surtout pour les entreprises et les utilisateurs qui n’en font qu’à leur tête avec les cycles d’actualisation, il est donc recommandé d’installer les mises à jour, puis de bien tout verrouiller. Ce n’est pas parce que des programmes mal intentionnés sont dévoilés apparemment par quelques esprits tordus qu’ils ne peuvent pas s’avérer dangereux…

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire