Equation Group – La NSA piratée ?

2
162

La NSA aurait-elle été piratée ? L’information est certes à prendre avec des pincettes mais il y a déjà plusieurs confirmations de sources fiables. Si cela s’avère vrai, c’est incontestablement l’un des plus importants incidents cybernétique de ces dernières années.

Un pirate informatique ou un groupe de cybercriminels encore inconnu prétendent avoir piraté “Equation Group“, un groupe de cyber-attaquants qui auraient été associé à la NSA, l’organisation du renseignement aux États-Unis, et aurait pu mettre la main sur un tas d’outils de piratage gouvernementaux (cyber-armes, logiciels malveillants, exploits 0-Day privés, et divers autres outils de piratage) en ligne après les avoir exfiltrés.

equation_group-leaked_1

Cela parait incroyable. Pourtant, certains experts en cyber-sécurité ont pu examiner les fuites de données, les exploits et les outils de piratage, et pensent que tout cela est bien réel. Le ou les pirates exigent 1 million de bitcoins (soit environ 568 millions de dollars) via une vente aux enchères pour l’ensemble des outils pirates secrets dérobés et se font appeler “The Shadow Brokers“. Ils n’hésitent pas à commenter sur la qualité de leur précieux lot : ça serait les meilleures armes informatiques actuelles. Rien que ça ! Un espace GitHub et un Tumblr ont été créés pour l’occasion mais supprimés depuis. Le cache est encore visible à l’heure où cet article est rédigé.

equation_group-leaked_2

Globalement considéré comme faisant partie de la NSA, Equation Group a été décrit comme “un acteur de la cyber-menace qui dépasse tout ce qui est connu en termes de complexité et de sophistication technique, et qui a été actif pendant près de deux décennies”, selon un rapport publié par la firme de sécurité russe Kaspersky en 2015.

equation_group-leaked_3

Equation Group a également été lié aux cyberattaques Regin et Stuxnet, bien que leur lien avec les États-Unis n’a jamais pu être formellement prouvé à ce jour. Parmi les fichiers dérobés, se trouvent des exploits visant les pare-feu et routeurs américains et chinois (dont Cisco, Juniper et Fortinet) mais aussi une multitude de scripts d’installation, des configurations de serveurs de commande et de contrôle (C&C), et divers exploits visant des matériels de réseau. Selon les dossiers divulgués, la société chinoise “TOPSEC” était aussi une cible Equation Group.

shadow

La fuite mentionne les noms de quelques-uns des outils de piratage qui sont en corrélation avec les noms utilisés dans les documents divulgués par le lanceur d’alerte Edward Snowden, comme “BANANAGLEE” et “EPICBANANA“.

Nous suivons le trafic d’Equation Group“, déclare The Shadow Brokers. “Nous avons découvert la source d’Equation Group. Nous avons piraté Equation Group. Nous avons trouvé beaucoup d’armes cybernétiques appartenant à Equation Groupe. Vous voyez les photos. Nous vous donnons quelques fichiers d’Equation Group en guise de preuve. Vous aimez !!! Vous y trouverez de nombreux outils d’intrusion. Nous mettons aux enchères les meilleurs dossiers.

asdf11

Certains experts en sécurité ont rapidement convenus que tout cela soit probable :

Je n’ai pas testé les exploits mais ils ont l’air de ressembler à des exploits légitimes“, affirme au Daily Dot Matt Suiche, fondateur de la société de cybersécurité , a déclaré au Daily Dot.

A contrario, certains pensent que la fuite EQGRP pourrait être un canular très bien documenté, et que la vente aux enchères en bitcoins pourrait être rien d’autre qu’une tentative d’attirer l’attention des médias :

Si cela est un canular, les auteurs ont déployé une énorme quantité d’efforts“, a confié le chercheur en sécurité à MotherBoard. “Les fichiers diffusés en tant que preuve semblent très légitimes, et ils représentent exactement les types d’exploits que vous attendez d’un groupe qui cible les infrastructures de communication à grande échelle dans le monde.

Kaspersky Lab et son équipe GReAT a confirmé via un article que les armes cybernétiques ayant fuitées appartiennent bien au groupe lié à la NSA. Selon un rapport technique publié par le cabinet de sécurité Kaspersky Lab, les outils de piratage avancés en fuite contiennent des signatures numériques qui sont identiques à ceux de piratage des logiciels malveillants utilisés précédemment par Equation Group :

Bien que nous ne pouvons pas deviner l’identité ou la motivation de l’attaquant, ni où ni comment ce trésor a été dérobé, nous pouvons affirmer que plusieurs centaines d’outils en fuite ont une forte connexion avec nos résultats antérieurs liés au groupe Equation“, déclarent les chercheurs de Kaspersky Lab.

Plus de 300 fichiers informatiques trouvés dans les archives de The Shadow Brokers montrent une mise en œuvre commune des algorithmes de chiffrement avancés RC5 et RC6, qui ont tous deux été largement utilisés par le groupe Equation. Ainsi, vu le nombre élevé de fichiers, les chances qu’ils soient faux ou que ce soit une gigantesque opération d’ingénierie sociale st très peu probable.

De plus, un ancien personnel de la NSA ayant travaillé dans la division spéciale Tailored Access Operations (TAO) confirme également l’authenticité des données en fuite au Washington Post : “Pas de doute possible, ils sont les clés du royaume“. Ce dernier a aussi demandé aux journalistes du Washington Post de taire les détails sur l’affaire :

Les choses dont vous parlez porteraient atteinte à la sécurité d’un grand nombre de réseaux gouvernementaux et d’entreprises, ici et à l’étranger. D’après ce que j’ai vu, il ne fait aucun doute dans mon esprit que tout cela est bien réel, a déclaré l’ancien employé TAO qui a demandé à rester anonyme.

Ainsi, après l’analyse de Kaspersky Lab et d’un ancien employé TAO, il semble clair que les outils de piratage de la NSA en fuite sont légitimes. Affaire à suivre de très près donc. Des experts et Edward Snowden pointent déjà du doigt la Russie comme le responsable de ce piratage d’envergure.

Les commentaires sont fermés.