Le cache de fichiers provenant peut-être de la NSA (l'Agence nationale de sécurité américaine) et qui a été mis aux enchères ce week-end par le groupe Shadow Brokers, contient d’authentiques outils de piratage. Selon des chercheurs en sécurité, non seulement ces outils fonctionnent, mais ils attestent d’un rare niveau de sophistication. Cisco a par exemple indiqué que les  échantillons de fichiers avaient révélé une faille logicielle non détectée dans ses produits. Mais il n’est pas le seul. Parmi les outils de hacking, les chercheurs ont trouvé des logiciels malveillants qui peuvent infecter le firmware d'un périphérique et demeurer en place, même si le système d'exploitation est réinstallé. « C’est assez terrifiant, car c’est la preuve d’un niveau d'expertise exceptionnel et d’une sérieuse capacité technique », a déclaré Brendan Dolan-Gavitt, professeur adjoint à l'école d'ingénierie de l'Université de New York.

Ce dernier fait partie des chercheurs qui ont eu accès aux échantillons de fichiers contenus dans le cache mis en ligne par Shadow Brokers. Ce week-end, ce groupe a déclaré avoir dérobé des fichiers d'attaque pouvant appartenir à la NSA et les a mis aux enchères au plus offrant en présentant quelques échantillons. Il semble, d’après les recherches menées par Kaspersky, que ces fichiers ont été volés à Equation Group, une équipe de cyberespions de haut niveau, peut-être liée à la NSA. Certains pensent que ce groupe a contribué au développement du ver informatique Stuxnet, notoirement connu, et qu'il aurait aussi créé un malware impossible à déloger une fois installé.

Edward Snowden y voit la main de la Russie

Pour Edward Snowden, le lanceur d’alerte qui a révélé en juin 2013 les actions d’espionnage menées par la NSA, la Russie pourrait bien se trouver derrière la mise en évidence du vol de fichiers revendiqué ce week-end par ce groupe anonyme baptisé Shadow Brokers. « Cette fuite ressemble à un avertissement que quelqu’un peut prouver la responsabilité des Etats-Unis pour toute attaque menée à partir de ce serveur de malwares », a-t-il tweeté. Selon lui, la Russie cherche à démontrer qu'elle a des arguments pour contre-attaquer si les Etats-Unis lui reprochent l'intrusion subie par le Comité national du Parti Démocrate (Democratic National Committee, DNC), révélée en juin (*).

Les chercheurs ont constaté que les outils de piratage présents dans ces fichiers ciblaient les produits pare-feu et les routeurs et exploitaient leurs failles logicielles – soit des vulnérabilités zero-day, soit des failles encore jamais détectées. Mercredi, Cisco a confirmé que les échantillons contenaient une faille inconnue affectant son logiciel de pare-feu et il a livré un correctif. Mais d'autres fournisseurs sont concernés. Juniper Networks a dit qu’il enquêtait encore sur le sujet, et qu’il devrait livrer prochainement plusieurs correctifs pour ses produits. Brian Martin, directeur chez Risk Base Security, a pu également analyser les échantillons de fichiers et selon lui, les outils pourraient également cibler les vulnérabilités zero-day des produits chinois, dont ceux du fournisseur de pare-feu Topsec.

Des malwares qui peuvent cibler le BIOS

Cependant, les intrusions possibles ne sont peut-être pas aussi dangereuses que le craignaient au départ les chercheurs. Par exemple, pour utiliser les exploits trouvés dans les fichiers, il faut disposer d’un accès direct à l'interface du pare-feu, « ce qui est normalement impossible à des utilisateurs extérieurs et donc depuis Internet », a déclaré Brian Martin. « Les exploits sont toujours utilisables, mais ils ne sont pas aussi redoutables que l’imaginaient les chercheurs », a-t-il ajouté. Néanmoins, ces outils de piratage n’ont sans doute pas été faciles à développer. « Nous avons également trouvé dans les échantillons de fichiers des morceaux de logiciels malveillants qui peuvent cibler le firmware - le BIOS - d'un ordinateur », a encore expliqué Brendan Dolan-Gavitt. « Le BIOS est le premier élément de code activé au démarrage d’un système et il a le contrôle sur tout le reste », a-t-il ajouté. En conséquence, tous les logiciels malveillants installés sur le BIOS restent en place même si le système d'exploitation de l'ordinateur est réinstallé.

Cette méthode est particulièrement efficace pour espionner le trafic réseau d'un ordinateur ou injecter de nouvelles données. « Cependant, pour développer ce genre de malware, les créateurs ont besoin d’informations détaillées sur le matériel », a encore déclaré  Brendan Dolan-Gavitt. Normalement, ces informations ne sont pas publiques, mais les créateurs ont la possibilité de recourir à l'ingénierie inverse. Le malware du BIOS semble affecter les produits Cisco et mercredi, le spécialiste des réseaux et des serveurs a déclaré qu’il avait déjà résolu le problème en utilisant son processus de démarrage Secure Boot.

(*) En juillet, le candidat républicain à la présidence des Etats-Unis, Donald Trump, a de son côté perturbé les experts en cybersécurité en invitant sur Twitter la Russie à voler les emails de Hillary Clinton.