BFM Business

Shadow Brokers: la NSA aurait égaré ses outils de piratage par erreur

-

- - NSA

Un hacker distrait de l'agence américaine a semble-t-il oublié sa trousse à outils sur un serveur. La NSA n'a rien dit car elle pensait tirer avantage d'un éventuel vol de ces données. Manque de chance, elle a fait chou blanc.

En août dernier, lorsque la NSA a vu certains de ses outils de piratage exposés sur la Toile par un mystérieux groupe appelé Shadow Brokers, les forces de l’ordre spéculait sur l’existence d’une taupe au sein de l’agence qui aurait permis leur exfiltration. Cette théorie est en train de s’effondrer.

Selon Reuters, qui s’appuie sur quatre sources différentes, la NSA aurait "simplement" laissé traîner ces outils sur un serveur distant à la suite d’une opération. Il s’agissait apparemment d’une erreur de la part de l’un de ses agents. Celui-ci avait notifié ce malencontreux évènement peu de temps après cette opération, qui s’est déroulée il y a... trois ans.

L’enquête actuelle n’est pas encore terminée. Les forces de l’ordre n’excluent pas que cet oubli ait été volontaire. Ou que d’autres personnes soient impliquées. Quoi qu’il en soit, la NSA savait depuis bien longtemps que ses outils avaient potentiellement fuité. Pourtant elle n’a pas prévenu les fournisseurs d’équipements informatiques qui étaient directement concernés, en particulier Cisco, Netscreen et Juniper.

Obligation de notification

Normalement, la NSA a pour mission de révéler des failles si elles constituent un grand risque pour les infrastructures critiques des Etats-Unis. Il existe même un comité baptisé "Vulnerability Equities Process" qui est censé peser le pour et le contre d'une notification de faille. Or, il est évident que les failles zero-day qui figuraient dans ces outils auraient dû être publiées, vu le risque d'une exploitation par des tiers.

Mais pourquoi la NSA est-elle restée muette? Selon Reuters, la NSA avait activé tous ses capteurs pour voir si ses outils avaient bel et bien fuités et s'ils étaient utilisés par des groupes de cyberespionnage. Derrière ce dispositif, il y avait un raisonnement un peu tordu: une telle détection aurait permis de surveiller ces groupes et d'en savoir plus sur leurs activités. L'outil de surveillance devenait, d'une certaine manière, un mouchard. Mais au final, rien n'est passé dans le radar de l'agence américaine qui, du coup, ne s'est pas sentie obligé d'avertir qui que ce soit. Rétrospectivement, c'était un bien mauvais choix.