Close
  • Français
  • English

26/10/2017Shadow Brokers, le brouillard de la guerre dans le cyberespace (Rafael Ponce, CEIS)

Révélé au public en aout 2016 après la publication d’outils et de notes opérationnelles qui appartiendraient à l’unité d’opérations de l’Agence de Sécurité Nationale américaine (NSA) appelée « Tailored Access Operations » ou « The Equation Group », le groupe « Shadow Brokers », s’est rapidement fait connaître par son ambiguïté, l’intrigue qu’il a su faire naître autour de son identité et de ses motivations, et par la nature des informations dont il prétendait être en possession.

Animé(s) d’une double volonté de générer du profit et de véhiculer des messages à contenus politiques et idéologiques, Shadow Brokers est désormais au centre d’une intense spéculation et fait l’objet de nombreuses théories et hypothèses. Devenu symbole d’un nouveau type de guerre cybernétique, ses actions mettent en lumière les limites des actions défensives ainsi que la capacité de manipulation offerte par le cyberespace. Plus encore, elles illustrent ce qui semble s’imposer ici comme l’un des plus grands avantages du cyberespace : l’anonymat et l’impossible attribution des attaques.

Il semblerait qu’un consensus se soit formé sur quelques caractéristiques du groupe ou l’individu derrière Shadow Brokers. D’abord, il est largement accepté que les éléments que le groupe ou l’individu prétend avoir en sa possession sont effectivement des exploits et outils de la NSA. Non seulement l’agence américaine ne l’a pas nié, mais les dégâts causés par l’épidémie de ransomware qui a suivi et qui utilisait l’un de ces exploits, « EternalBlue »,[1] semblent le confirmer.  Ensuite, il est également reconnu que Shadow Brokers maitrise parfaitement l’anglais, utilise d’ailleurs des expressions américaines, et manie parfaitement les références culturelles de ce pays. Les messages publiés sous son nom semblent donc être rédigés à dessein dans un anglais médiocre, déguisant volontairement le style de l’écriture pour ralentir l’enquête comme Shadow Brokers l’a clairement fait savoir dans l’un de ses messages.[2] Les spécialistes s’accordent ensuite pour dire ces quelques informations sont à ce jour les seules connues sur Shadow Brokers. En d’autres termes, les seules informations disponibles sont celles partagées volontairement par Shadow Brokers via les messages publiés sur les réseaux sociaux et les plateformes.

A en croire ces éléments, Shadow Brokers serait constitué d’(un) ancien(s) agent(s) du gouvernement américain, peut-être même des agents de la NSA, aux motivations pécuniaires et désireux d’ébranler l’establishment, ou le « deep state » américain.[3] Ces dissidents venant de l’intérieur auraient soutenu la candidature de Donald Trump et seraient toujours partisans de sa rhétorique anti-globalisation, libérale, interventionniste, nationaliste, proche de Wall Street, et prônant le rapprochement avec la Russie. Ils auraient pour rival direct le « Tailored Access Group », qui représente pour eux l’incarnation des pouvoirs traditionnels et des intérêts privés qui menacent les valeurs fondamentales des Etats Unis, et chercheraient simplement à le faire chanter.[4] Il pourrait cependant ne s’agir que d’une image construite de toutes pièces.

Seules les méta-data permettent d’éclaircir un tant soit peu ce mystère. Selon des spécialistes ayant recours à des analyses de Tweets, il semblerait que l’interface Twitter de Shadow Brokers soit configurée en anglais et qu’elle soit située dans le fuseau horaire Pacifique (U.S. & Canada). Il a également été constaté que Shadow Broker était principalement actif pendant le week-end, avec un rythme alternant les pics d’activité et les longues périodes de silence. De plus, le compte Twitter de Shadow Broker aurait été créé le jour même de la première publication d’outils volés, le 13 août 2016 et son PGP ID[5], deux semaines avant la toute première publication.[6] Tous ces éléments semble indiquer un niveau de planification élevé et une organisation bien en amont, avant même la première publication, et renforce l’hypothèse suggérant que les membres du groupe (ou l’individu) maîtris(en)t parfaitement l’anglais tout en faisant délibérément des erreurs pour fausser les pistes, et serai(en)t localis(é)s sur la côte ouest des Etats-Unis. Mais tout ceci pourrait tout aussi bien être entièrement faux, car même les méta-datas peuvent être modifiées.

Et c’est là l’essence même du pouvoir de cette « cinquième dimension » dans laquelle tout est possible. Cet univers d’inconnus et de variables confère aux attaquants une liberté de mouvement considérable et un net avantage sur leur cible en termes de prise de décisions. Dans cet environnement ou l’ennemi, potentiellement, est partout, où les motivations sont diverses, et où la confiance et la communication au sein du camp défensif ne peut être que sévèrement limité, le brouillard de guerre n’a jamais été si facilement exploitable.

Shadow Brokers continue à proposer un abonnement qui lui permet de vendre tous les mois une partie des informations sensibles acquises (exploits et autres outils) et publie chaque mois de nouveaux messages dont le contenu varie, mais principalement à visée politique ou idéologique, ou donnant des précisions sur les outils dérobés et mis à disposition. On ne peut donc pas totalement exclure la possibilité d’une double motivation, à la fois pécuniaire et politique, dans le but de fragiliser les forces traditionnelles des Etats Unis.

A l’exception des Etats Unis, Shadow Brokers ne représente pas une menace directe pour le reste du monde. Ce qui fait peur, c’est surtout la nature et le contenu des informations à la disposition du groupe, et tous les groupes/individus qui pourraient également y avoir accès. Leur potentiel de nuisance est en effet considérable car les cybercriminels et les groupes sponsorisés par les Etats susceptibles d’y avoir accès pourraient utiliser ces informations pour développer de nouveaux outils, pour s’en servir à des fins d’espionnage, ou les vendre dans une démarche de commercialisation de l’information. On ne peut qu’espérer que le NSA sait précisément quelles informations ont été compromises, et que les parties tierces ont été rapidement informés des vulnérabilités exploitées.

Le cyberespace est souvent présenté comme le nouveau champ de bataille de la guerre moderne, la « cinquième dimension » selon la doctrine militaire américaine, qui combine les opérations de réseau, les opérations psychologiques, et les manœuvres militaires. Pour les Etats Unis, Shadow Brokers représente une réelle menace précisément parce qu’il incarne cette cinquième dimension. Pour le reste du monde, le groupe incarne le potentiel offert par cette cinquième dimension.

Shadow Brokers a toujours contrôlé très étroitement les informations livrées au grand public, ne diffusant que ce qu’ils souhaitent diffuser et cherchant à attirer l’attention autant que possible. A travers ce qui peut être qualifié de véritable campagne marketing pour promouvoir leurs « produits », le groupe répond en ligne aux réactions des spécialistes en sécurité informatique, de la presse et le gouvernement, pour démentir les théories à son sujet, semer le doute autour de son identité et de ses motivations, et pour véhiculer des messages de nature politique ou idéologique. Profitant de l’anonymat pour ralentir les enquêteurs, de leurs opérations cyber tout en semant la confusion sur les responsables. Le fait que le groupe soit localisé aux Etats Unis ne fait qu’aggraver l’impact psychologiques de cette pour la communauté d renseignements et les forces armées américaines.[7]  Qu’il s’agisse du travail de puissance étrangères ou de rebelles venus de l’intérieur, l’objectif est atteint: la recherche et le développement technologique entrepris par les Etats Unis a été considérablement mis à mal et les autorités se montrent toujours incapables de réelles représailles, et les ennemis des Etats Unis montent en puissance.

Reste à voir la sévérité des dommages qui pourront encore être infligés, aux Etats-Unis et au reste du monde, et combien de temps Shadow Brokers pourra rester impuni. Tant qu’il reste impossible d’attribuer une attaque avec certitude, la réponse des Etats Unis ne pourra qu’être limitée à conduire de des enquêtes, à réparer les dégâts, et à instrumentaliser la situation à des fins politiques.

[1] Un exploit développé par la NSA qui utilise une vulnérabilité (CVE-2017-0144) dans l’implémentation du protocole de Server Message Block de Microsoft.

[2] https://steemit.com/shadowbrokers/@theshadowbrokers/grammer-critics-information-vs-knowledge

[3] « deep state », expression qui veut dire Etat profonde, se référant aux pouvoirs traditionnels des Etats Unis, normalement repris par l’extrême droite. https://steemit.com/shadowbrokers/@theshadowbrokers/don-t-forget-your-base and https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation

[4] https://steemit.com/shadowbrokers/@theshadowbrokers/oh-lordy-comey-wanna-cry-edition

[5] Le PGP ID est un logiciel de chiffrement cryptographique qui sert à garantir la confidentialité et l’authentification pour la communication des données.

[6] @x0rz, « Shadow Brokers : Courtier ou agent d’influence ? » MISC, N. 93, septembre/octobre 2013.

[7] According to the Washington Post, morale has previously been low within the ranks of the NSA, https://www.washingtonpost.com/world/national-security/pentagon-and-intelligence-community-chiefs-have-urged-obama-to-remove-the-head-of-the-nsa/2016/11/19/44de6ea6-adff-11e6-977a-1030f822fc35_story.html?utm_term=.33cc4ba4be80