Tech&Co
Cybersécurité

Pourquoi le piratage de la NSA met tous les internautes en danger

-

- - DR

N'importe quel pirate peut désormais utiliser l'arsenal publié par le groupe "Shadow Broker" pour attaquer les réseaux d'entreprises un peu partout sur la planète.

En publiant sur le web les outils de piratage de la NSA, le mystérieux groupe de hackers "Shadow Brokers" a non seulement infligé une profonde humiliation à l'agence d'espionnage américaine, mais a également provoqué un dommage collatéral pour tout l'Internet.

En effet, les fichiers qui ont été publiés ciblent tout particulièrement les pare-feux fabriqués par Cisco, Fortinet et Netscreen. Ce sont des équipements réseaux largement diffusés sur la planète et particulièrement sensibles, car ils protègent les réseaux d'un grand nombre d'entreprises et d'organisations.

Publier ces outils de piratage sur la Toile, c'est comme ouvrir les portes blindés d'un dépôt d'armes. N'importe qui y a désormais accès et peut, s'il dispose des compétences techniques nécessaires, en faire usage. Les cybercriminels doivent donc se frotter les mains. Nul doute qu'ils ont d'ores et déjà commencé à scruter à la loupe tous ces précieux scripts et binaires qui figurent dans le lot de fichiers publiés. Evidemment, les particuliers peuvent également se retrouver lésés car nous sommes tous clients ou utilisateurs de services professionnels: services web, FAI, télécoms, santé, etc.

Les premiers zero-day surgissent

Le risque est d'autant plus réel que les fournisseurs ont d'ores et déjà détecté de nouvelles vulnérabilités dans les fichiers publiés. Ainsi, Fortinet a trouvé une vulnérabilité inconnue jusqu'à présent permettant de prendre le contrôle à distance d'anciennes versions du pare-feu FortiGate par le biais d'une page web piégée. Le fournisseur recommande de mettre à niveau le micrologiciel. De son côté, Cisco a confirmé dans une note de blog que ses produits étaient visés par au moins deux failles. L'une a été patchée en 2011, mais l'autre était elle-aussi totalement inconnue. 

Cette faille "zero-day" était utilisée dans une attaque baptisée EXTRABACON et permettait de prendre le contrôle à distance d'un pare-feu Cisco PIX ou Cisco ASA et, dès lors, d'accéder au réseau interne. Compte tenu des éléments d'horodatage des fichiers publiés, ces pare-feux Cisco étaient à la merci de cette attaque depuis au moins trois ans. Un patch est en cours de préparation. Les équipements sont donc toujours vulnérables à l'heure actuelle.

L'activité de piratage des agences est mise en question

D'autres failles risquent d'être découvertes dans les prochains jours, au fur et à mesure que les experts en sécurité avancent dans leur travail d'analyse. Pour eux, c'est une véritable course contre la montre pour éviter que les cybercriminels ne profitent de cette occasion en or.

Quoiqu'il en soit, cet événement montre aussi le danger que représente l'activité des agences d'espionnage, que ce soit la NSA, la DGSE, le GCHQ ou d'autres. Si ces organisations ne sont pas capables de protéger correctement leurs outils de piratage, ceux-ci peuvent tomber dans de mauvaises mains. "Voilà ce qui arrive quand des agences de sécurité stockent des failles de manière non sécurisée : une piètre sécurité pour tous", souligne Kevin Beaumont, un chercheur en sécurité, dans The Washington Post.