Des outils de piratage divulgués appartiennent bien à la NSA, confirment de nouveaux documents Snowden

Les documents Snowden confirment que l’outil de piratage de la NSA a été compromis par le groupe de hackers Shadow Brokers

Un groupe mystérieux nommé « The Shadow Brokers » a publié ce qui semblait être certains des outils de piratage de la National Security Agency (NSA) en ligne vendredi dernier. Depuis, des experts tentent de déterminer si certains des puissants outils de piratage de l’agence d’espionnage américaine ont réellement été compromis.

Selon The Intercept, ces outils sont mentionnés dans des documents divulgués par le lanceur d’alerte de la NSA, Edward Snowden. Hier, The Intercept a rapporté que les nouveaux documents publiés à partir de la cache de documents divulgués par Snowden semblent maintenant confirmer que l’archive de 301 Mo d’outils de piratage, d’exploits et de données de la NSA est en effet authentique.

Les outils de piratage proviennent de ce qu’on appelle le « Equation Group », un autre groupe de hackers longtemps considéré comme une émanation de la NSA. Les hackers qui ont divulgué les outils de piratage de la NSA ont affirmé qu’ils ne faisaient que publier certains des outils qu’ils avaient pu obtenir et ont exigé des millions de dollars de rançon pour le reste.

Voici la preuve accablante de The Intercept :

« La preuve qui relie la fuite des ShadowBrokers à la NSA se trouve dans un manuel de l’agence pour implanter des logiciels malveillants, classé top secret, fourni par Snowden et qui n’était pas précédemment disponible au public. Le projet de manuel instructe les opérateurs de la NSA à suivre leur utilisation d’un programme de logiciels malveillants en utilisant une chaîne spécifique de 16 caractères, “ace02468bdf13579”. Cette même chaîne apparaît tout au long de la fuite des ShadowBrokers dans le code associé au même programme, SECONDDATE. »

En d’autres termes, la chaîne est également apparue dans 14 fichiers différents divulgués dans le cadre de la fuite de données des ShadowBrokers, y compris un fichier étiqueté SecondDate-3021.exe.

L’outil permet à la NSA d’effectuer des attaques de type « homme du milieu » contre des ordinateurs ciblés pour interrompre le trafic sur un réseau et rediriger les requêtes web vers la NSA, selon une présentation interne de la NSA provenant de la collection Snowden.

Bien que la NSA n’ait pas commenté les affirmations des ShadowBrokers, des fabricants de logiciels comme Cisco Systems Inc. et Fortinet Inc. ont déclaré dans des annonces séparées plus tôt cette semaine que certains des codes divulgués par les ShadowBrokers représentent une menace pour leurs produits, ce qui donne du crédit à l’idée que les exploits de la NSA volés par les hackers sont légitimes.

Il n’est toujours pas clair comment les données ont été divulguées et qui les a exactement divulguées. Cependant, de nombreux experts pensent que la Russie pourrait être derrière cette violation de haut niveau. Snowden a spéculé plus tôt cette semaine que la fuite pourrait être un avertissement de la Russie, disant « le piratage d’un serveur de staging de logiciels malveillants de la NSA n’est pas sans précédent, mais la publication de la prise l’est. »

« Les preuves circonstancielles et le bon sens indiquent une responsabilité russe, » a écrit Snowden dans une série de tweets le 16 août. « Cette fuite est probablement un avertissement que quelqu’un peut fournir une responsabilité américaine pour toute attaque provenant du serveur de logiciels malveillants. Cela pourrait avoir des conséquences significatives sur la politique étrangère. Particulièrement si l’une de ces opérations ciblait des alliés américains. Particulièrement si l’une de ces opérations ciblait des élections.