La plupart des spécialistes de la sécurité, Bruce Schneier en particulier, milite depuis des années pour que les agences de renseignement cessent de développer des cyberarmes.
Parce que ces dernières, de la même façon qu’un obus ou une bombe nucléaire, peuvent être volés par l’ennemi et retournées contre soi.
Une enquête de Symantec leur donne raison.
Une cyberarme, c’est la découverte d’une vulnérabilité de sécurité, typiquement par une agence de renseignement, comme la NSA, et le développement le cas échéant d’outils nécessaires à son exploitation. Elles sont alors conservées dans un arsenal. Comme la vulnérabilité n’est communiquée à personne, il est presque certain qu’elle reste exclusive.
D’après Symantec, des agents du renseignement chinois, nommés selon les sources Buckeye, APT3, Advanced Persistent Threat ou Gothic Panda, ont mis la main dès 2016 sur les outils de la NSA, et les ont exploités, notamment Eternal Synergy et Double Puslar, la même année contre les alliés des Américains, et contre des entreprises privées d’Europe et d’Asie.
Ils ne les auraient pas volés, mais capturés lors d’une attaque américaine. C’est la première fois que le cas de figure théorique d’un groupe qui récupère une vulnérabilité inconnue utilisée contre lui, puis l’utilise contre d’autres, est observé dans la réalité.
On peut se demander pourquoi ils n’ont pas retourné les armes contre les Américains. Peut-être parce qu’ils supposaient que ces derniers avaient des contre-mesures, ou peut-être parce qu’ils ne souhaitaient pas qu’ils soient au courant que leurs armes étaient tombées entre leurs mains.
Or ce groupe est recherché depuis plus d’une dizaine d’années par la NSA.
Jusqu’ici, on pensait que les outils avaient été dérobés par un groupe nommé Shadow Brokers, dont on n’a toujours pas découvert l’identité des membres.
Ils disséminèrent les outils sur la toile. Ces outils furent exploités par la Russie et la Corée du nord dans des attaques globales dévastatrices, du système anglais de santé aux opérations du transporteur Maersk à l’arrêt de production d’un vaccin de Merck très demandé, ainsi que la paralysie de services critiques en Ukraine : aéroports, poste, distributeurs de billets, stations essence.
Ce n’est pas un incident exceptionnel. Les agences de renseignement américaines se sont fait voler à plusieurs reprises des armes de leurs arsenaux ces dix dernières années.
Symantec affirme que le groupe chinois a exploité les outils de la NSA contre la Belgique, Hong Kong, le Luxembourg, les Philippines et le Vietnam, avec pour cibles des gouvernements, des télécoms, des instituts de recherche et d’éducation.
En 2017, le département de la Justice des États-Unis inculpait trois des membres de Buckeye pour piratage de trois entreprises. Le groupe s’arrêta alors.
Et pourtant, les attaques continuèrent contre l’Europe et l’Asie. S’agissait-il de Buckeye ? Ou donna-t-ses outils à un autre groupe ?
