Le groupe The Shadow Brokers (« les courtiers de l’ombre »), qui avait publié en août 2016 une partie de l’arsenal de la National Security Agency (NSA), a récidivé et donné accès samedi 8 avril à de nouveaux outils d’espionnage numérique.

Lors de leur précédente publication, ce groupe de pirates à l’origine et aux motivations troubles avait lancé une enchère destinée à financer la publication du reste de leurs trouvailles. Malgré l’échec de cette levée de fonds, le groupe a fourni le mot de passe permettant de déchiffrer un fichier contenant de nouveaux outils d’espionnage qu’ils se sont procurés.

Le groupe, en plus de cette clé, a adressé à Donald Trump un long message, confus, à consonance politique et dans un anglais plus qu’approximatif, dénonçant « le socialisme », « les mondialistes », lui demandant des explications sur le retrait récent de Steve Bannon, le plus proche conseiller du président, du National Security Council, ou sur la frappe de missiles américaine sur une base aérienne syrienne :

« Cher Président Trump,
Respectueusement, putain qu’est-ce que vous faites ? […] TheShadowBrokers est en train de perdre foi en vous. Est en train d’apparaître que vous abandonnez “votre base”, “le mouvement” et le gens qui vous élisez. […] Si vous avez fait des “deal(s)” être en train de le dire aux gens, les gens apprécient la transparence. Mais quel genre de deal peut être en train d’aboutir à des armes chimiques utilisées en Syrie, le retrait de M. Bannon du NSC, frappe militaire américaine en Syrie, et vote avec succès pour la Cour suprême des Etats-Unis sans changer règles ? » [sic]

Un arsenal numérique

Leur syntaxe acrobatique ne doit pas tromper : comme lors de leur précédente publication, les Shadow Brokers ont bien mis la main sur un arsenal destiné à l’espionnage numérique. Des documents d’Edward Snowden avaient prouvé que leur première livraison provenait bien de la NSA.

S’il est impossible de prouver que ces nouveaux outils sont issus de la NSA, leur nouvelle livraison correspond bien à ce qu’utiliserait une agence de renseignement. « On voit qu’il y a du travail, qu’il y a plusieurs équipes, affectées à leur tâche » explique x0rz, un analyste français spécialisé en sécurité informatique, qui ne souhaite donner que son pseudonyme et qui a passé plusieurs heures à analyser les fichiers publiés par les Shadow Brokers.

Il s’agit d’une boîte à outils, un patchwork de programmes destinés à pénétrer dans différents systèmes informatiques en exploitant des failles de divers logiciels ou protocoles. Certaines de ces failles sont justement anciennes, beaucoup remontent à plus d’une décennie, une éternité en sécurité informatique. Pour x0rz, il s’agit d’outils « accumulés au fil des ans », mais pas nécessairement périmés, car ayant tout à fait pu être utilisés encore récemment sur des systèmes non mis à jour.

Certains des fichiers révélés par les Shadow Brokers portent la trace des cibles contre lesquelles ils ont été utilisés. Les chercheurs en sécurité informatique, nombreux pendant le week-end à avoir épluché les documents, ont reconstitué une liste de cibles, qui comprend de nombreuses universités, y compris en Europe (l’université de Brême, en Allemagne, l’université de Reggio de Calabre, en Italie) et même Caramail, un fournisseur de courriel français très populaire à la fin des années 1990.

La prudence s’impose toutefois, outre le fait que ces cibles peuvent être très anciennes, rien ne permet de déterminer si cette liste correspond à des ordinateurs ou à des systèmes effectivement surveillés ou qui avaient simplement servi de tests.

Beaucoup d’experts ont raillé sur les réseaux sociaux l’ancienneté des révélations des Shadow Brokers. « Si ça vient de la NSA, on peut comprendre qu’il y ait des déçus, mais on ne voit pas ça tous les jours », note x0rz, qui rappelle qu’il ne s’agit que « d’une partie de leurs outils ».

Qui sont les Shadow Brokers ?

Les circonstances qui ont abouti à la publication de ces outils, pas plus que l’identité des Shadow Brokers ne sont éclaircies par cette nouvelle fournée d’outils d’espionnage. S’agit-il d’une fuite provenant d’un (ancien) membre de l’Agence ? D’une erreur d’un agent de la NSA, ou d’une autre agence, qui aurait oublié sa trousse à outils sur un serveur mal protégé ? D’une opération d’un service concurrent ou ennemi ? D’un message, envoyé par un pays rival des Etats-Unis, destiné à montrer ses muscles ? Les dates des publications des Shadow Brokers plaident en ce sens. La première, en août 2016, est survenue alors que les fuites émanant du gouvernement américain et attribuant à la Russie le piratage du Parti démocrate américain se multipliaient ; la seconde, aujourd’hui, quelques jours après les frappes américaines en Syrie. Les pirates, dans leur message, donnent leur avis sur cette théorie :

« Si Shadow Brokers être Russes, ne pensez-vous que nous serions dans tous ces rapports gouvernementaux sur le piratage russe ? The Shadow Brokers n’est pas pas fans de la Russie ou de Poutine mais “l’ennemi de mon ennemi est mon ami”. » [sic]