Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

EternalBlue, un outil de piratage de la NSA volé par les pirates, fait des ravages,
Causant des milliards de dollars de dommages

Le , par Bill Fassinou

160PARTAGES

9  0 
Aux États-Unis, des pirates ont mis la main sur une cyberarme développée par la National Security Agency (NSA) et s’en serviraient depuis des années pour mener des attaques partout dans le monde. D’après les informations rapportées par The New York Times (NYT), l’arme est utilisée par les pirates depuis plus de trois ans et a ainsi causé des milliards de dollars de dommages dans le monde entier. Selon le quotidien américain, le plus récent exploit de ces pirates est une attaque qui a duré presque trois semaines contre la ville de Baltimore et a pris pour principale cible les locaux de la NSA.

En 2017, la NSA a perdu le contrôle de l’un de ces exploits les plus puissants qu’il a développés, EternalBlue. En effet, EternalBlue est un exploit développé par la NSA. Il a été révélé et publié par le groupe de hackers « The Shadow Brokers » le 14 avril 2017. Cet exploit utilise une faille de sécurité présente dans la première version du protocole SMB (SMBv1). Bien que cette faille de sécurité ait déjà été résolue par Microsoft par une mise à jour de sécurité publiée le 14 mars 2017, de nombreux utilisateurs de Windows n'avaient toujours pas installé ce correctif de sécurité lorsque, le 12 mai 2017, le ransomware « WannaCry » a utilisé cette faille de sécurité pour se propager.

Cet exploit a également été utilisé pour les cyberattaques Adylkuzz (survenue quelques jours après WannaCry) et NotPetya (survenue en juin 2017). Selon The New York Times, l’arme a ensuite été reprise par de nombreux groupes de pirates informatiques dans le monde situés notamment en Russie, en Corée du Nord et plus récemment en Chine. Ainsi, ces trois dernières semaines, a rapporté le journal américain, EternalBlue aurait été utilisé pour mener des attaques qui ont gelé des millions d’ordinateurs, bloqué les courriers électroniques et perturbé les ventes immobilières, les factures d’eau, les alertes de santé et de nombreux autres services.

En effet, à la suite de l’attaque qui a pris pour cible certaines villes des États-Unis et principalement les installations de la NSA à Baltimore dans l’État du Maryland, les experts en sécurité chargés de faire la lumière sur les différentes attaques qui perturbent la ville ont indiqué qu’un élément clé du programme malveillant que les cybercriminels ont utilisé dans leurs attaques a été développé par l'Agence nationale de sécurité (NSA) elle-même. Ces derniers estiment que les attaques perpétrées avec EternalBlue ont atteint un niveau record et que les cybercriminels se concentrent sur les villes américaines vulnérables, de la Pennsylvanie au Texas, paralysant les gouvernements locaux et faisant grimper les coûts. D’après le journal, depuis qu’EternalBlue est aux mains des pirates, les dégâts causés sont estimés à des milliards de dollars et ils ne ciblent pas seulement les États-Unis.


L’attaque qu’a décrite The New York Times ressemble à celle rapportée dernièrement par l’organisation à but non lucratif ProPublica. ProPublica a retracé dans un rapport, il y a quelques jours, que de 2015 à 2018, une souche de ransomware connue sous le nom de SamSam a paralysé les réseaux informatiques en Amérique du Nord et au Royaume-Uni. Ces attaques, a expliqué ProPublica, ont paralysé les entreprises et les forces de l'ordre. Elles auraient causé plus de 30 millions de dollars de dommages à au moins 200 entités, y compris les villes d'Atlanta et de Newark, le New Jersey, le port de San Diego et le centre médical presbytérien de Hollywood à Los Angeles.

Le rapport a aussi indiqué que la série d’attaques par ransomware a éliminé les demandes de service d'eau (comme dans le cas présent) et les systèmes de facturation en ligne d'Atlanta, a incité le ministère des Transports du Colorado à faire appel à la Garde nationale et a retardé les rendez-vous chez le médecin et les traitements pour les patients du pays dont les dossiers électroniques ne pouvaient être récupérés. Les solutions pour permettre aux populations de retrouver leur train de vie normal étant manquantes, les entreprises de cybersécurité n’ont pas eu d’autres choix que de satisfaire aux demandes de rançon émises par les attaquants.

Pour le cas qui nous concerne actuellement, explique le NYT, des agences de renseignement étrangères et des acteurs malhonnêtes auraient utilisé l’exploit de la NSA EternalBlue pour propager des logiciels malveillants qui ont paralysé des hôpitaux, des aéroports, des opérateurs ferroviaires et maritimes, des distributeurs automatiques de billets et des usines produisant des vaccins essentiels. Selon le quotidien, à présent, l'outil frappe les États-Unis aux endroits où le pays est le plus vulnérable, c’est-à-dire les administrations locales dotées d'une infrastructure numérique vieillissante et de moins de ressources pour se défendre.

Depuis cette fuite en 2017 et à la suite des récents événements, la NSA a renié les allégations selon lesquelles ces différentes attaques auraient été menées par le biais de son exploit EternalBlue. L’agence a d’ailleurs refusé d’apporter des commentaires sur le sujet ou même de reconnaître que sa cyberarme lui a été dérobée deux années plus tôt. De plus, a notifié le quotidien américain, le FBI et la NSA ignorent depuis 2017 l’identité du groupe à l’origine de la fuite du programme. Autrement dit, les deux agences ne savent pas si les pirates qui constituent le groupe « The Shadow Brokers » sont des espions étrangers ou de simples citoyens américains mécontents.

Thomas Rid, un expert en cybersécurité à l’université Johns Hopkins de Baltimore a pour sa part qualifié l'épisode « The Shadow Brokers » de « la violation de la NSA la plus destructrice et la plus coûteuse de l'histoire », plus dommageable que la fuite de données mieux connue de 2013 d'Edward Snowden , l'ancien sous-traitant de la NSA. Thomas Rid a également expliqué que le gouvernement américain n’a pas voulu apporter son avis sur la question. « Le gouvernement a refusé d'assumer ses responsabilités, voire de répondre aux questions les plus élémentaires. La surveillance du Congrès semble échouer. Le peuple américain mérite une réponse » a déclaré le professeur Thomas Rid.

Des travailleurs de la NSA qui ont témoigné sous anonymat ont indiqué qu’EternalBlue est l’un des exploits les plus puissants de la NSA et qu’il pourrait engendrer plus de dégâts qu’il en a faits à l’heure actuelle. Ces derniers ont expliqué que les analystes ont passé presque un an à trouver une faille dans le système de Microsoft et à rédiger le code pour le cibler. « Initialement, ils l'ont appelé EternalBluescreen, car il plantait souvent des ordinateurs, un risque qui pourrait faire basculer leurs cibles. Mais il est devenu un outil fiable utilisé dans d'innombrables missions de collecte de renseignements et de lutte contre le terrorisme », ont-ils déclaré. Ils ont également précisé qu’EternalBlue était si précieux que l'agence n'avait jamais sérieusement envisagé d'alerter Microsoft sur les vulnérabilités et l'avait conservée pendant plus de cinq ans avant que l'infraction ne force sa main.

Dans ce sillage, Brad Smith, président de Microsoft, avait appelé à la signature d’une « convention de Genève numérique » pour régir le cyberespace, y compris un engagement des gouvernements à signaler les vulnérabilités aux vendeurs, plutôt que de les garder secrets à des fins d'espionnage ou d'attaque. À ce titre, l'année dernière, Microsoft, ainsi que Google et Facebook, ont rejoint 50 pays en signant un appel similaire lancé par le président français Emmanuel Macron, l'appel de Paris pour la confiance et la sécurité dans le cyberespace, visant à mettre un terme aux « cyberactivités malveillantes en temps de paix ». Les cyberacteurs les plus agressifs au monde, à savoir la Chine, l'Iran, l’Israël, la Corée du Nord, la Russie et les États-Unis, étaient particulièrement absents des signataires.

D’après le NYT, l’attaque qu’a subie la ville de Baltimore le 7 mai était un assaut de ransomware classique. Les écrans des employés municipaux se sont soudainement verrouillés et un message rédigé en anglais imparfait exigeait environ 100 000 USD en Bitcoin pour libérer leurs fichiers. « Nous vous surveillons depuis des jours. Nous ne parlerons plus, tout ce que nous savons, c'est de l'ARGENT ! Dépêchez-vous ! », indique le message obtenu par le journal The Baltimore Sun.

Aujourd'hui, Baltimore reste handicapée, car les responsables de la ville refusent de payer les attaquants, bien que des solutions de contournement aient rétabli certains services. Sans EternalBlue, les dégâts n'auraient pas été aussi importants, ont déclaré des experts. L'outil exploite une vulnérabilité dans un logiciel non corrigé qui permet aux pirates informatiques de propager leurs programmes malveillants plus rapidement et plus loin qu'ils ne le pourraient autrement.

Source : The New York Times

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Trois exploits de la NSA réécrits pour affecter toutes les versions de Windows lancées à partir de l'an 2000

Une attaque massive de minage de cryptomonnaies a été lancée avant WannaCry et s'appuie également sur les outils dérobés à la NSA

L'exploit EternalBlue, utilisé pour armer WannaCry, pourrait également être porté sur Windows 10, d'après des chercheurs de RiskSense

Les entreprises qui promettaient des solutions contre les rançongiciels payaient presque toujours les pirates informatiques, selon ProPublica

Signal, une application de messagerie rapide et sécurisée, approuvée par Snowden, mais est-elle vraiment plus sécurisée que ses concurrents ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 27/05/2019 à 13:35
la sécurité coute cher si on s'en occupe, et encore plus cher si on ne s'en occupe pas.
1  0 
Avatar de Refuznik
Membre averti https://www.developpez.com
Le 27/05/2019 à 12:56
Snowden c'est 2014.
En 2015, il y a eu des fuites de logiciels d'attaque de la part de la NSA.
De l'autre le groupe Shadow Brokers a rendu publics, depuis 2016, plusieurs outils développés par le groupe Equation, très fortement soupçonné d’être lié à l’agence américaine. Certains d’entre eux sont depuis devenus très populaires parmi les pirates, et tout particulièrement Eternal Blue, Eternal Romance et Double Pulsar, utilisé bien au-delà du désormais célèbre ransomware WannaCry. On peut bien sûr penser au faux rançongiciel NotPetya, mais également les maliciels bancaires Emotet et TrickBot.

Pour info. :
- EternalBlue permet à l'attaquant d'exécuter un code distant sur les machines Windows 7 ou plus anciennes utilisant SMBv2.1.
- EternalRomance exploite le processus de traitement des transactions SMBv1, ce qui lui permet de cibler Windows 7, XP et Vista, ainsi que Windows Server 2003 et 2008.
0  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 27/05/2019 à 14:01
La sécurité coûte d'autant plus cher lorsqu'on ne révèle pas les failles aux éditeurs.
0  0