Le groupe de hackers Shadow Brokers, à l'origine de la révélation de la faille Windows ayant permis la cyberattaque de masse de la semaine dernière, envisagerait de monétiser les informations sensibles dont il dispose, en s'inspirant du modèle économique de plate-formes comme Spotify ou Netflix.
Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).
Franck DeCloquement : L’affirmation du groupe "Shadow Brokers" selon laquelle celui-ci posséderait des informations sensibles sur les programmes nucléaires gouvernementaux – ou d’États à travers le monde – est extrêmement inquiétante. Le groupe de pirates a en effet indiqué avoir d’ores et déjà en sa possession des données très sensibles sur les programmes nucléaires étrangers que vous citez. Ces membres menacent maintenant de rendre publiques encore plus de vulnérabilités informatiques au cours des prochaines semaines. Parmi lesquelles, des outils de piratage, des données confidentielles volées à des membres du réseau bancaire "Swift". Y compris des données concernant directement les programmes nucléaires – ou de missiles – de l'Iran, de la Chine, de la Russie et de la Corée du Nord. Ainsi que les vulnérabilités affectant cette fois Windows 10, ce programme emblématique de Microsoft installé à travers le monde sur des dizaines de millions d'ordinateurs personnels. Le ransomware "Wanna Cry", qui a récemment défrayé les chroniques du monde entier en affectant des centaines de milliers de serveurs et de machines informatiques, semble donc n’être qu’un "hors-d’œuvre" en matière d’intrusion numérique...
Le mystérieux groupe de pirates informatiques "Shadow Brokers", autrement-dit les "courtiers de l’ombre", prétendent être les auteurs de cette action malveillante d’envergure planétaire. Mais qui sont-ils réellement au juste ? Le groupe s’est fait connaître des spécialistes l’an passé, en offrant à la vente des outils de piratage dérobés à la NSA. La fameuse Agence américaine de sécurité nationale, divulguant sans vergogne à l’époque, et dans la foulée de leurs méfaits, quelques bribes de code prouvant par la même qu’ils étaient bien en possession du matériel ainsi dérobé. Les experts, qui se sont penchés sur l’étude de cette affaire peu commune, ont depuis estimé que ces outils sont authentiques et qu’ils émaneraient bien d’une unité ultra-secrète de la NSA baptisée "Equation Group". Figurait notamment celui que l’Agence de renseignement anglo-saxonne utilisait pour exploiter une faille du système d’exploitation Windows de Microsoft, et qui a été mis à contribution pour mener l’attaque mondiale vendredi dernier, par le désormais célèbre programme malveillant "Wanna Cry". Comble du paradoxe, dans un message revanchard ouvertement provocateur, le groupe a reproché à cette unité spéciale de la NSA – "l’Equation Group" – de ne pas avoir alerté les concepteurs de logiciels comme Microsoft, des vulnérabilités nichées au sein de leurs propres produits. Les laissant ainsi exposés aux piratages et autres virus malveillants qu’eux-mêmes ont pu mettre en œuvre... Humour noir ? Sans aucun doute… Le groupe a aussi indiqué que ses futures révélations pourraient être suspendues si la NSA ou un "tiers responsable" rachetait les données volées…
À cette heure, la véracité de leurs propos laisse les experts dans l’expectative. Par ailleurs, certains observateurs avisés soupçonnent déjà en coulisses leurs liens avec le régime nord-coréen du dictateur Kim Jong-Un, ou la Russie. Affaire à suivre…
Surfant sur la récente notoriété de leur forfait, à l’origine de la conception du ransomware WanaCrypt0r2.0, les Shadow Brokers entendent évidemment profiter de cette aubaine pour vendre d’autres outils de piratage dérobés à l’unité ultra-secrète de la NSA baptisée "Equation Group". Leurs visées semblent claires à ce propos. Dans un message très laconique posté très tard mardi soir dernier sur internet, les "Shadow Brokers" indiquaient dans un anglais toujours très approximatif qu’ils accepteront, à partir du mois de juin 2017, des paiements numériques, en échange desquels les "souscripteurs" recevront chaque mois des informations privilégiées sur des méthodes de piratage informatique et des vulnérabilités techniques. Certains de ces "bogues" informatiques pourraient ainsi être diffusés mensuellement, mais dans le cadre spécifique d'un nouveau "modèle d'entreprise" basé très simplement sur l'abonnement des tiers intéressés par ces données. Imitant très clairement à ce stade un "business-model" qui s’est avéré payant et très efficace pour des entreprises emblématiques du web, à l’image de Spotify, Netflix et Blue Apron. Toujours dans ce message truffé d’erreurs orthographiques et syntaxiques, les "Shadow Brokers" ont exposé leurs intentions mercantiles pour monétiser leurs actions délictueuses… Leur business-modèle en quelque sorte… "C’est comme un club mensuel du vin. Des gens peuvent payer un abonnement mensuel, puis recevoir chaque mois des données réservées aux membres. Ce que les membres font avec les données dépend d’eux", a écrit le groupe sur le réseau social Steemit.
Ce positionnement parfaitement "pro-business", minutieusement analysé par les experts en charge du dossier afin d’obtenir des indices sur les intentions futures du groupe incriminé, dénote sans ambages d’une volonté de sophistication commerciale croissante de la part des "Shadow Brokers". Un groupe qui semble avoir démontré à la face du monde une capacité technique redoutable à piller les meilleures agences de renseignements du monde, et à compromettre et infecter des millions de machines via leurs exactions numériques. Ces échanges frauduleux, bien connus des spécialistes qui se déroulaient jusqu’à maintenant à travers les ramifications des profondeurs du web, émergent de leurs "souterrains" digitaux pour tenter de commercialiser et de revendre "à l’air libre" auprès du plus grand nombre, des "bogues informatiques" détectés sur la toile, matérialisant ainsi une volonté de faire émerger et de faire prendre racine un "nouveau type de marché commercial", aux ressorts bien réels, mais aux accents parfaitement frauduleux et criminels. Microsoft n'a pas, pour l’heure, répondu à une demande de commentaire. Auparavant, le groupe des "Shadow Brokers" avait déjà cherché à vendre ses outils de piratage au plus offrant. Dans les faits, peu d'acheteurs se sont présentés au portillon, ont déclaré les pirates sur leur blog. Le groupe précise "regretter que personne n'ait encore acheté les données et outils dérobés aux enchères". Ni The Equation Group (à qui tout cela a été dérobé), ni "The Five Eyes" – autrement dit, l’alliance des services de renseignement du Royaume-Uni, de l'Australie, de la Nouvelle-Zélande, du Canada et des États-Unis – la Russie, la Chine, l'Iran, la Corée, le Japon, Israël, l'Arabie saoudite, l'Onu, l'Otan déplorent le groupe. Cisco, Juniper, Intel, Microsoft, Symantec, Google, Apple, FireEye : aucune de ces sociétés ne s'est montrée, semble-t-il, intéressée. Mais désormais, la mise en place d’un modèle d'abonnement mensuel pourrait signifier que les "bogues" détectés par cette bande pourraient enfin trouver leur chemin jusqu’aux mains du plus grand nombre… Funeste perspective.
Les Shadow Brokers estiment que les entreprises high-tech américaines sont truffées d’espions de la NSA, Microsoft compris… Mais à leurs yeux, les services russes, chinois, iraniens et israéliens font de même dans les grandes entreprises technologiques mondiales. Les outils publiés par ce groupe de pirates revendiqué sont très sophistiqués et tous les experts en sécurité informatique ont craint, dans un premier temps, que la publication de ces outils, très facilement réutilisables, mette toutes ces failles à la portée d’innombrables pirates potentiels. Introduisant des armes informatiques très puissantes dans les mains de quiconque les télécharge. Beaucoup de spécialistes de la sécurité informatique consultés estiment n’avoir jamais autant vu de failles "zéro day" publiées d’un seul coup. C’est, en outre, le cas de Matthew Hickey, chercheur en sécurité informatique au site The Intercept, cité dans la presse anglo-saxonne.
Si un doute était encore permis sur la valeur réelle du butin dévastateur ainsi subtilisé par les "Shadow Brokers", il est désormais dissipé. Sur le fond, les Shadow Brokers pointent du doigt la responsabilité des gouvernements et des géants du web qui n’ont pas souhaité acquérir leur butin lorsque celui-ci était mis en vente par le biais d’enchères en ligne… Les voici aujourd’hui coupables à leurs yeux de ne pas les avoir pris au sérieux. D’où l’explication de ce changement radical de positionnement, à les entendre. Dans l’une de leur note publiée sur leur blog, ils se moquaient en outre de James "You’re fired" Comey, l’ex directeur du FBI démis par Donald Trump. Ils assurent aujourd’hui avoir encore "beaucoup de choses" en réserve, puisque "75% de l’arsenal cybernétique est américain selon eux. De quoi faire trembler les services de sécurité américains. Pour autant, les autres Etats ne semble pas à l’abri de leur kourou. Ainsi, les Shadow Brokers envisagent aussi de livrer "les petits secrets des grandes nations" à toute personne qui souscrira auprès d’eux un abonnement mensuel. En juin, le groupe affirme qu’il lancera "The Shadow Brokers Data Dump of the Month", une forme de service d’abonnement mensuel qui livrerait à ses bénéficiaires des outils de piratage pour navigateur web, routeurs ou Windows 10 épargné jusqu’ici, mais aussi des données subtilisées au réseau bancaire SWIFT et à des Banques centrales comme nous l’indiquions plus haut. En l’état, la boucle semble bouclée.
Après l’attaque au rançongiciel Wanna Cry repérée vendredi, les chercheurs de la société de sécurité informatique Proofpoint ont découvert une nouvelle attaque de bien plus grande envergure et encore plus rentable, liée à WanaCrypt0r2.0. Celle-ci est appelée, cette fois, "Adylkuzz". Elle utilise, de manière plus furtive encore et à des fins forts différentes, les outils de piratage récemment divulgués par la NSA, et la vulnérabilité désormais corrigée de Microsoft... On ne connaît pas encore l’ampleur exacte des dégâts causés, mais des centaines de milliers d’ordinateurs pourraient avoir été, une fois encore, infectés. Concrètement, ce logiciel malveillant s’introduit dans des ordinateurs vulnérables grâce à la même faille de Windows utilisée précédemment par Wanna Cry. Le malware crée alors, de façon "invisible", des unités d’une monnaie virtuelle parfaitement intraçable appelée "Monero", parfaitement comparable au fameux Bitcoin. Les données numériques, qui permettent d’utiliser ces gains, sont extraits puis envoyées à des adresses cryptées… Le tour est joué !
Le groupe de pirates "Shadow Brokers" s'exprime une dernière fois sur la toile quant à leurs intentions sous-jacentes et leurs prises de positions, suite à la propagation de WanaCrypt0r2.0 : "Nous ne voulons pas voler les économies des grands-mères". "C'est une histoire entre ‘The Shadow Brockers’ et The Equation Group", cette entité de la NSA (National Security Agency) prise en grippe par les pirates... Un froissement d’égo rivalitaire ? Le fond de l’affaire est peut-être là en définitive…
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !