Shadow Brokers – Abonnement mensuel pour des failles 0-Day volées à la NSA

Abonnement mensuel pour des failles 0-Day volées à la NSA – Quels enjeux pour le groupe de pirates informatiques The Shadow Brokers ?

Tirant profit d’une notoriété bien acquise suite à la cyber attaque d’ampleur mondiale WannaCry, le groupe de pirates The Shadow Brokers a annoncé l’ouverture d’une boutique en ligne, fonctionnant sur le principe de l’abonnement mensuel, afin de vendre de nouveaux exploits subtilisés à la NSA. Aux interrogations concernant la véracité des exploits détenus par le groupe de pirates, s’ajoutent des questions concernant les acheteurs de ces exploits : gouvernements, entreprises, hackers, qui pour souscrire à un tel abonnement dont l’anonymat est assuré par l’utilisation des cryptomonnaies Zcash et Monero.

Le groupe de pirates a lancé un service d’abonnement mensuel, baptisé “Data Dump of the Month”, promettant à ses membres l’accès à des outils de piratage de la NSA alors qu’ils déclaraient être en possession de 75% du cyberarsenal américain, ainsi qu’à des données volées auprès du réseau bancaire Swift et de différentes banques centrales, ou encore de données relatives à des programmes d’armement nucléaire de différents pays : Russie, Chine, Iran et Corée du Nord. Les 22 000 € que coûtent l’abonnement mensuel doivent être payés via les crypto-monnaies Zcash et Monero.

Mais ce nouveau modèle économique, vanté par le groupe de pirates, doit-il être pris au sérieux ?  Doivent-ils réellement être craints ?

Retour sur un an d’action

Août 2016 : Le groupe de pirates acquiert une notoriété mondiale

Les Shadow Brokers se sont fait mondialement connaître en annonçant être en possession d’outils de piratage – volés à l’Equation Group, un groupe informatique de cyber-espionnage lié à la National Security Agency (NSA) – et en les proposant à la vente aux enchères. Mais, malgré des documents censés contenir nombre de failles 0-day, des données concernant des programmes de surveillance, des programmes nucléaires, des plans de missiles, etc., ils n’en tireront que 10 bitcoin et ne divulgueront donc pas les documents face à la faiblesse des enchères.

Janvier, Mars, Avril 2017 : Campagne de communication du groupe de pirates

Durant le premier trimestre 2017, le groupe de pirates diffuse gratuitement des captures d’écran d’outils de piratage Windows afin de prouver qu’il ne s’agit pas d’une simple arnaque.

Mars 2017 : Patch de sécurité Microsoft Bulletin Microsoft MS-17-010

Microsoft fourni en urgence un patch de sécurité pour la version récente de l’OS, et diffuse un communiqué dans le bulletin Microsoft MS-17-010 datant du 14 mars 2017.

Avril 2017 : L’exploit Eternalblue est rendu public par les pirates informatiques

Le groupe de pirates rend public l’exploit appelé Eternalblue qui est basé sur la vulnérabilité du serveur SMB sur les systèmes Windows et Windows Server. Découvert par la NSA, ce dernier est un élément de programme permettant à un individu ou à un logiciel malveillant d’exploiter une faille de sécurité informatique dans un système d’exploitation ou un logiciel.

Mai 2017 : Wannacry consolide la notoriété de cette organisation criminelle

L’exploit Eternalblue est réutilisé par des hackers pour lancer la cyber attaque d’ampleur mondiale WannaCry. Les Shadow Brokers gagnent à nouveau en visibilité médiatique, et en profitent pour annoncer le lancement de leur abonnement mensuel.

Mai 2017 : Le Groupe ouvre sa boutique en ligne “Data Dump of the Month”

Les pirates ont lancé un service d’abonnement mensuel, baptisé “Data Dump of the Month”, promettant à ses membres l’accès à des outils de piratage de la NSA alors qu’ils déclaraient être en possession de 75% du cyberarsenal américain, ainsi qu’à des données volées auprès du réseau bancaire Swift et de différentes banques centrales, ou encore de données relatives à des programmes d’armement nucléaire de différents pays : Russie, Chine, Iran et Corée du Nord. Les 22 000 € que coûtent l’abonnement mensuel doivent être payés via les crypto-monnaies Zcash et Monero.

D’une stratégie balbutiante, au coup de poker médiatique ?

Le premier échec des Shadow Brokers témoigne de la difficulté de trouver des acheteurs pour les outils de piratage subtilisés à une agence gouvernementale, d’autant plus lorsqu’il s’agit de la NSA. Le groupe pirate n’hésitait pas à accuser dans une note la NSA et les entreprises du secteur informatique de ne pas avoir acheté les informations volées et d’être ainsi en partie responsable de WannaCry.

Le recul permet aujourd’hui d’analyser la stratégie médiatique des Shadow Brokers.

S’il était difficile en première lecture de comprendre pourquoi le groupe de pirates avait mis à disposition gratuitement sur le web les outils de piratages volés à la NSA, la distance nous permet aujourd’hui de comprendre  que le groupe envisageait probablement que des hackers seraient tentés par l’utilisation de ces outils si une partie de ces derniers étaient mis en ligne gratuitement. Alors que le groupe se targue d’être en possession de 75% du cyber arsenal de la NSA, la couverture médiatique obtenue suite à la vague de cyber attaque WannaCry semble bien être l’opportunité que le groupe attendait pour revendre les vulnérabilités et informations secrètes qu’il détient. Le groupe est maintenant reconnu et les outils en leur possession sont maintenant pris au sérieux.

Qui osera souscrire au service offert par une entité pirate ?

Deux chercheurs reconnus en cyber sécurité, x0rz et HackerFantastic, ont tenté de récolter la somme de 22 000 € par crowdfunding afin de souscrire à l’offre des Shadow Brokers du mois de juin qui devrait être fournie entre le 1er et le 17 juillet 2017. Mais des questions éthiques et juridiques ont mis un terme à cette initiative, puisqu’entrent en jeu des informations volées à la NSA et rendues publiques sans le consentement de l’agence gouvernementale. Tout acheteur qui s’abonne au service fourni par les Shadow Brokers s’expose à un réel risque sur le plan juridique.

Des interrogations demeurent donc quant à savoir qui prendra le risque de souscrire à ce service. Certains gouvernements ne pourraient-ils pas en profiter pour acquérir des armes informatiques ? Des entreprises ne pourraient-elles pas être tentées d’y souscrire pour être en mesure de fournir des patchs à leurs clients ? D’autres pirates informatiques oseront-ils y souscrire pour réutiliser les failles dans de nouvelles cyber attaques d’ampleur ?

Si les vulnérabilités dévoilées par le groupe en avril se sont bien avérées dangereuses, en sera-t-il de même de celles fournies par ce nouveau service au mois de juin ? Le nouveau modèle économique utilisé par le groupe pirate en dépend.

Autant de questions qui trouveront probablement réponse dans les mois à venir, une chose est sûr les Shadow brokers n’ont certainement pas fini de faire parler d’eux.

L’expertise au centre de notre stratégie de croissance