Le groupe de pirates informatiques connu sous le nom Shadow Brokers, qui a précédemment publié des exploits (des programmes exploitant des failles logicielles) développés par la NSA, entend gagner encore plus d’argent en proposant un service d’abonnement pour divulguer les outils et techniques encore en sa possession. Le groupe a également recueilli des renseignements de la NSA sur des banques étrangères et des programmes de missiles balistiques.

The Shadow Brokers est à l’origine de la fuite EternalBlue, l'exploitation de la faille SMB de Windows qui a été utilisée ces derniers jours par des attaquants pour infecter des centaines de milliers d'ordinateurs à travers le monde avec le programme de ransomware WannaCry. Le groupe est apparu en ligne en août en affirmant qu'il avait accès à l'arsenal d'un groupe de cyberespionnage connu dans l'industrie de la sécurité sous le nom d'Equation, une entité considérée comme une division de piratage de la NSA.

Des exploits vendus 16 millions d'euros 

Mardi, suite aux attaques de WannaCry, les Shadow Brokers ont affiché un message en ligne dans lequel ils prétendent avoir encore beaucoup d'exploits d'Equation qui n'ont pas encore été divulgués. Le groupe veut les rendre disponibles dans le cadre d'un nouveau service basé sur les abonnements qu'il prévoit de lancer en juin. Il a d'abord publié un ensemble d'outils de piratage pour les routeurs et les firewalls, mais a déclaré qu'il en avait beaucoup plus qu'il était disposé à vendre pour 10 000 bitcoins ou plus, soit environ 16 millions d’euros. Mais faute d’offres, le groupe a diffusé les informations, y compris les adresses IP des systèmes ciblés par Equation.

The Shadow Brokers sont ensuite retournés dans l’ombre, désactivant leurs comptes en ligne en janvier, pour revenir en avril en publiant le mot de passe pour une archive chiffrée contenant de nombreux exploits Linux et Windows, ainsi que des implants de logiciels malveillants supposés avoir été utilisés par Equation. La plupart des vulnérabilités ciblées par les exploits ayant fuité avaient déjà été corrigées à cette époque, y compris EternalBlue, que Microsoft a corrigé en mars pour les systèmes d’exploitation maison encore supportés.

Une volonté effrénée de gagner de l'argent 

Selon les pirates informatiques, les données qui seront diffusées chaque mois via le service d'abonnement pourraient inclure des exploits pour les navigateurs web, les routeurs, les appareils mobiles et Windows 10, ainsi que les données extraites par Equation lors de ses opérations de cyberespionage. L'offre est censée inclure les données volées auprès de l’entreprise Swift et des banques centrales, ainsi que des informations provenant des « armes nucléaires russes, chinoises, iraniennes ou nord-coréennes et de leurs programmes de missiles ». Ce que les abonnés feront avec ces exploits et les données seront à leur charge, a déclaré le groupe.

Personne ne semble avoir payé les Shadow Brokers pour avoir accès à l'arsenal d’Equation dans le passé, du moins dans l’état des connaissances actuelles. Le groupe a même exprimé sa frustration à l'égard de ce manque d'intérêt pour ses offres. Il n'est pas encore certain qu’un modèle basé sur l'abonnement attirera plus de clients, surtout sans aucun prix annoncé. Cependant, compte tenu de l'historique du groupe et de la publication d'informations que beaucoup attribuent à la NSA, il est probable qu'à un moment donné, ces données deviendront publiques, d'une manière ou d'une autre.