“Combien seriez-vous prêts à payer pour récupérer des armes ennemies ? Pas des logiciels malveillants comme on en trouve dans n’importe quel réseau… Nous avons mis la main sur des outils écrits par le groupe Equation, nous les avons piratés à la source. Et nous avons trouvé beaucoup, beaucoup de cyberarmes.” Ce message rédigé dans un anglais sommaire est celui qu’a posté le 13 août un groupe de hackers qui s’est baptisé Shadow Brokers.
Leur cible ? Le groupe Equation, qui n’est rien de moins qu’une entité qui regroupe des cyberespions. Une entité fortement soupçonnée d’être liée à l’Agence nationale de la sécurité (NSA), la toute-puissante agence américaine de renseignements. En matière de cyberespionnage, l’attaque des Shadow Brokers représente un exploit. Pour résumer, ils ont ni plus ni moins posté certains des outils que la NSA utilise pour épier le monde, et en ont mis d’autres aux enchères.
Comment les pirates des Shadow Brokers s’y sont-ils pris pour hacker Equation ? Le site américain The Verge émet plusieurs hypothèses. La première suppose qu’une entité tierce serait impliquée. La deuxième, c’est celle postée le 16 août, sur Twitter, par Edward Snowden lui-même, qui met en scène un serveur proxy compromis par le piratage de la NSA, puis par les Shadow Brokers. Mais pour beaucoup, la vérité est bien plus simple. Les données sont si complètes que cela suppose une attaque bien plus directe. “Quelqu’un est sorti d’une zone sécurisée avec les données sur sa clé USB”, avance donc le site d’information technologique et culturel.
Manœuvre russe ou nouveau Snowden ?
De fait, après chaque cyberattaque, la question essentielle demeure : qui a attaqué ? L’exercice des attributions est un art délicat. Il y a peu de gens capables d’une action de cette ampleur, et derrière les Shadows Brokers beaucoup voient la main de la Russie. Parmi eux, James A. Lewis, du CSIS (Center for Strategic and International Studies), qui décrit dans le New York Times “une manœuvre russe”. Dans sa série de tweets, le lanceur d’alerte Edward Snowden a indiqué que, si ce n’est pas la première fois que la NSA avait été piratée, plusieurs preuves désignent “une responsabilité russe”.
Cette hypothèse a récemment été remise en cause. D’après le spécialiste américain du renseignement James Bamford, quand la NSA est attaquée, les Russes font figure de “suspects habituels”. Mais, plaide-t-il dans un long commentaire sur Reuters, la Russie n’aurait jamais rendu public ce vol de données. Pour lui, il faut plutôt chercher au sein même de la NSA. “A défaut d’une cyberattaque sophistiquée lancée par la Russie ou une autre nation, il paraît plus probable qu’un employé ait volé tous ces outils”, écrit-il, estimant qu’il y a sûrement un “nouveau Snowden” dans les rangs de la puissante agence de sécurité. Il prévient :
Nous sommes entrés dans une période que beaucoup redoutaient, dans laquelle les cyberarmes de la NSA peuvent être volées et utilisées contre nous. Cela ouvre la porte à des hackers, à des cyberanarchistes et à des gouvernements hostiles qui peuvent utiliser ces outils pour avoir accès à des milliers d’ordinateurs dans le but de voler des données […] et provoquer le chaos.”
“Cette attaque arbitraire ressemble en fait de plus en plus à un conflit international”, conclut The Verge.
