Aux États-Unis, des pirates ont mis la main sur une cyberarme développée par la National Security Agency (NSA) et s’en serviraient depuis des années pour mener des attaques partout dans le monde. D’après les informations rapportées par The New York Times (NYT), l’arme est utilisée par les pirates depuis plus de trois ans et a ainsi causé des milliards de dollars de dommages dans le monde entier. Selon le quotidien américain, le plus récent exploit de ces pirates est une attaque qui a duré presque trois semaines contre la ville de Baltimore et a pris pour principale cible les locaux de la NSA.
En 2017, la NSA a perdu le contrôle de l’un de ces exploits les plus puissants qu’il a développés, EternalBlue. En effet, EternalBlue est un exploit développé par la NSA. Il a été révélé et publié par le groupe de hackers « The Shadow Brokers » le 14 avril 2017. Cet exploit utilise une faille de sécurité présente dans la première version du protocole SMB (SMBv1). Bien que cette faille de sécurité ait déjà été résolue par Microsoft par une mise à jour de sécurité publiée le 14 mars 2017, de nombreux utilisateurs de Windows n’avaient toujours pas installé ce correctif de sécurité lorsque, le 12 mai 2017, le ransomware « WannaCry » a utilisé cette faille de sécurité pour se propager.
Cet exploit a également été utilisé pour les cyberattaques Adylkuzz (survenue quelques jours après WannaCry) et NotPetya (survenue en juin 2017). Selon The New York Times, l’arme a ensuite été reprise par de nombreux groupes de pirates informatiques dans le monde situés notamment en Russie, en Corée du Nord et plus récemment en Chine. Ainsi, ces trois dernières semaines, a rapporté le journal américain, EternalBlue aurait été utilisé pour mener des attaques qui ont gelé des millions d’ordinateurs, bloqué les courriers électroniques et perturbé les ventes immobilières, les factures d’eau, les alertes de santé et de nombreux autres services.
En effet, à la suite de l’attaque qui a pris pour cible certaines villes des États-Unis et principalement les installations de la NSA à Baltimore dans l’État du Maryland, les experts en sécurité chargés de faire la lumière sur les différentes attaques qui perturbent la ville ont indiqué qu’un élément clé du programme malveillant que les cybercriminels ont utilisé dans leurs attaques a été développé par l’Agence nationale de sécurité (NSA) elle-même. Ces derniers estiment que les attaques perpétrées avec EternalBlue ont atteint un niveau record et que les cybercriminels se concentrent sur les villes américaines vulnérables, de la Pennsylvanie au Texas, paralysant les gouvernements locaux et faisant grimper les coûts. D’après le journal, depuis qu’EternalBlue est aux mains des pirates, les dégâts causés sont estimés à des milliards de dollars et ils ne ciblent pas seulement les États-Unis.
L’attaque qu’a décrite The New York Times ressemble à celle rapportée dernièrement par l’organisation à but non lucratif ProPublica. ProPublica a retracé dans un rapport, il y a quelques jours, que de 2015 à 2018, une souche de ransomware connue sous le nom de SamSam a paralysé les réseaux informatiques en Amérique du Nord et au Royaume-Uni. Ces attaques, a expliqué ProPublica, ont paralysé les entreprises et les forces de l’ordre. Elles auraient causé plus de 30 millions de dollars de dommages à au moins 200 entités, y compris les villes d’Atlanta et de Newark, le New Jersey, le port de San Diego et le centre médical presbytérien de Hollywood à Los Angeles.
Le rapport a aussi indiqué que la série d’attaques par ransomware a éliminé les demandes de service d’eau (comme dans le cas présent) et les systèmes de facturation en ligne d’Atlanta, a incité le ministère des Transports du Colorado à faire appel à la Garde nationale et a retardé les rendez-vous chez le médecin et les traitements pour les patients du pays dont les dossiers électroniques ne pouvaient être récupérés. Les solutions pour permettre aux populations de retrouver leur train de vie normal étant manquantes, les entreprises de cybersécurité n’ont pas eu d’autres choix que de satisfaire aux demandes de rançon émises par les attaquants.
Pour le cas qui nous concerne actuellement, explique le NYT, des agences de renseignement étrangères et des acteurs malhonnêtes auraient utilisé l’exploit de la NSA EternalBlue pour propager des logiciels malveillants qui ont paralysé des hôpitaux, des aéroports, des opérateurs ferroviaires et maritimes, des distributeurs automatiques de billets et des usines produisant des vaccins essentiels. Selon le quotidien, à présent, l’outil frappe les États-Unis aux endroits où le pays est le plus vulnérable, c’est-à-dire les administrations locales dotées d’une infrastructure numérique vieillissante et de moins de ressources pour se défendre.
Depuis cette fuite en 2017 et à la suite des récents événements, la NSA a renié les allégations selon lesquelles ces différentes attaques auraient été menées par le biais de son exploit EternalBlue. L’agence a d’ailleurs refusé d’apporter des commentaires sur le sujet ou même de reconnaître que sa cyberarme lui a été dérobée deux années plus tôt. De plus, a notifié le quotidien américain, le FBI et la NSA ignorent depuis 2017 l’identité du groupe à l’origine de la fuite du programme. Autrement dit, les deux agences ne savent pas si les pirates qui constituent le groupe « The Shadow Brokers » sont des espions étrangers ou de simples citoyens américains mécontents.
Thomas Rid, un expert en cybersécurité à l’université Johns Hopkins de Baltimore a pour sa part qualifié l’épisode « The Shadow Brokers » de « la violation de la NSA la plus destructrice et la plus coûteuse de l’histoire », plus dommageable que la fuite de données mieux connue de 2013 d’Edward Snowden , l’ancien sous-traitant de la NSA. Thomas Rid a également expliqué que le gouvernement américain n’a pas voulu apporter son avis sur la question. « Le gouvernement a refusé d’assumer ses responsabilités, voire de répondre aux questions les plus élémentaires. La surveillance du Congrès semble échouer. Le peuple américain mérite une réponse » a déclaré le professeur Thomas Rid.
Des travailleurs de la NSA qui ont témoigné sous anonymat ont indiqué qu’EternalBlue est l’un des exploits les plus puissants de la NSA et qu’il pourrait engendrer plus de dégâts qu’il en a faits à l’heure actuelle. Ces derniers ont expliqué que les analystes ont passé presque un an à trouver une faille dans le système de Microsoft et à rédiger le code pour le cibler. « Initialement, ils l’ont appelé EternalBluescreen, car il plantait souvent des ordinateurs, un risque qui pourrait faire basculer leurs cibles. Mais il est devenu un outil fiable utilisé dans d’innombrables missions de collecte de renseignements et de lutte contre le terrorisme », ont-ils déclaré. Ils ont également précisé qu’EternalBlue était si précieux que l’agence n’avait jamais sérieusement envisagé d’alerter Microsoft sur les vulnérabilités et l’avait conservée pendant plus de cinq ans avant que l’infraction ne force sa main.
Dans ce sillage, Brad Smith, président de Microsoft, avait appelé à la signature d’une « convention de Genève numérique » pour régir le cyberespace, y compris un engagement des gouvernements à signaler les vulnérabilités aux vendeurs, plutôt que de les garder secrets à des fins d’espionnage ou d’attaque. À ce titre, l’année dernière, Microsoft, ainsi que Google et Facebook, ont rejoint 50 pays en signant un appel similaire lancé par le président français Emmanuel Macron, l’appel de Paris pour la confiance et la sécurité dans le cyberespace, visant à mettre un terme aux « cyberactivités malveillantes en temps de paix ». Les cyberacteurs les plus agressifs au monde, à savoir la Chine, l’Iran, l’Israël, la Corée du Nord, la Russie et les États-Unis, étaient particulièrement absents des signataires.
D’après le NYT, l’attaque qu’a subie la ville de Baltimore le 7 mai était un assaut de ransomware classique. Les écrans des employés municipaux se sont soudainement verrouillés et un message rédigé en anglais imparfait exigeait environ 100 000 USD en Bitcoin pour libérer leurs fichiers. « Nous vous surveillons depuis des jours. Nous ne parlerons plus, tout ce que nous savons, c’est de l’ARGENT ! Dépêchez-vous ! », indique le message obtenu par le journal The Baltimore Sun.
Aujourd’hui, Baltimore reste handicapée, car les responsables de la ville refusent de payer les attaquants, bien que des solutions de contournement aient rétabli certains services. Sans EternalBlue, les dégâts n’auraient pas été aussi importants, ont déclaré des experts. L’outil exploite une vulnérabilité dans un logiciel non corrigé qui permet aux pirates informatiques de propager leurs programmes malveillants plus rapidement et plus loin qu’ils ne le pourraient autrement.
Source : The New York Times