CYBER command NSA CIA
© PATRICK SEMANSKY / APDerrière une mystérieuse fuite de données se cache sans doute un bras de fer entre services de renseignement.
L'affaire, au parfum de guerre froide, intrigue les spécialistes des services de renseignement et de sécurité informatique depuis trois jours. Le 13 août, The Shadow Brokers, un groupe de pirates inconnu jusqu'alors, a publié sur Internet une série d'outils et de programmes d'espionnage informatique qu'il prétend avoir dérobé au groupe Equation, une référence transparente à la National Security Agency (NSA), responsable aux Etats-Unis de l'espionnage numérique.

Des données authentiques

The Shadow Brokers aurait donc mis la main sur ce que l'agence - ce qui se fait de mieux en matière de défense informatique - a de plus précieux, à savoir une petite partie de son arsenal informatique. Cette invraisemblable hypothèse a pris, en quelques heures, un poids considérable.

Dès lundi, de nombreux chercheurs en sécurité informatique se sont penchés sur les données publiées par The Shadow Brokers. Ils y ont trouvé une série d'outils pour contourner les « firewalls », des dispositifs de sécurité omniprésents dans les entreprises et les administrations, ainsi que des programmes espions permettant d'extraire des données des réseaux informatiques, dont au moins un utilisait une faille informatique inédite, signe d'attaquants compétents.

La richesse et la quantité des données, le type de programmes que l'on y trouve ont convaincu la quasi-totalité des experts qu'ils avaient sous les yeux un matériau authentique.

Par ailleurs, deux anciens membres du service de pirates d'élite de l'agence ont indiqué au Washington Post que ces fichiers leur semblaient tout à fait authentiques. Deux entreprises dont les programmes mis en ligne semblaient exploiter les failles ont annoncé les avoir corrigées, autre signe de l'authenticité du butin.

Mardi 16 août en fin d'après-midi, la firme russe à l'origine de la découverte du groupe Equation a accrédité un peu plus l'hypothèse qu'une petite partie des secrets les mieux gardés de la NSA était bel et bien dans la nature.

Selon Kaspersky, les fichiers mis en ligne par The Shadow Brokers et les outils utilisés par le groupe Equation, donc la NSA, « partagent des caractéristiques précises et rares », dont la falsification est « hautement improbable ». Les experts russes concluent « avec un haut niveau de confiance » que les données publiées par The Shadow Brokers appartiennent bien au groupe Equation.

Enfin, vendredi 19 août, le site The Intercept a balayé les dernières incertitudes : des mentions des outils publiés par The Shadow Brokers figurent dans les documents de la NSA qu'Edward Snowden avait détournés en 2013, et dont le site détient une copie.

Qui se cache derrière The Shadow Brokers ?

Ces données semblent relativement anciennes : des dates présentes à l'intérieur des documents publiés indiquent que ces fichiers auraient été subtilisés à la NSA autour de l'été et de l'automne 2013. Si cette date n'a pas été falsifiée, pourquoi les pirates ne décident qu'aujourd'hui de publier ces informations explosives ? Dans cette nébuleuse affaire, faute de certitude, on ne peut avancer que des hypothèses. Pour plusieurs observateurs, les pirates ont voulu envoyer un message.

C'est l'avis d'Edward Snowden, qui a fait défection en 2013 pour révéler certaines pratiques de la NSA. Pour lui, il n'est pas inhabituel que des données issues des services de renseignement soient piratées. Ce qui est plus original, écrit-il dans une série de messages sur son compte Twitter, c'est que cette prouesse se retrouve au grand jour.

La publication de ces données serait donc un message. L'analyse est partagée par Bruce Schneier, expert reconnu en sécurité informatique, Nicholas Weaver, chercheur à l'université de Berkeley (Californie), ou encore Dave Aitel, ancien agent de la NSA.

Disposer, trois ans durant, des outils de la NSA permet non seulement de les utiliser pour son propre compte, mais surtout de mieux détecter - et surveiller - les attaques menées par l'agence américaine. Qui aurait donc intérêt, aujourd'hui, à faire comprendre aux Américains que leurs activités offensives sur Internet sont surveillées de près ? Ou, autrement dit, qui se cache derrière The Shadow Brokers ?

Ces dernières semaines, la Russie a été accusée, y compris par des hauts fonctionnaires américains, d'être derrière le piratage du Parti démocrate américain et d'organiser la publication, notamment par WikiLeaks, de milliers de courriels internes afin d'influencer l'élection présidentielle de novembre. Faut-il voir dans la publication d'une partie de la boîte à outil de la NSA une contre-attaque russe dans cette escalade entre le Kremlin et les autorités américaines ?

Les jours qui viennent apporteront peut-être des réponses : dans un message posté sur Internet, The Shadow Brokers ont mis aux enchères une partie des données, pour le moment protégées par mot de passe, promettant des révélations encore plus intéressantes.