En 2017, un groupe de pirates nommé Shadow Brokers a divulgué des outils secrets de piratage de la NSA (National Security Agency) des États-Unis, agence du Département de la Défense en charge du renseignement électronique et de la sécurité des systèmes d’information du gouvernement américain.
Ce stock de cyberarmes est largement constitué de vulnérabilités jour zéro, c’est-à-dire une vulnérabilité informatique qui n’est pas connue des personnes qui ont intérêt à atténuer ses effets, et pour lesquelles aucun correctif n’est a fortiori disponible.
Lundi, le spécialiste de la cybersécurité Check Point affirme avoir découvert des preuves que le groupe de pirates chinois connus sous les noms APT31, Zirconium ou Jugdment Panda, aurait obtenu un accès à l’outil de piratage de Windows nommé EpMe, développé par l’Equation Group, réputé comme faisant partie de la NSA.
APT31 aurait développé sa propre cyberarme en 2014 en se basant sur le code source d’EpMe de 2013, que Check Point nomme « Jian » ou « épée à double tranchant ».
Et l’aurait activement exploité de 2015 à mars 2017, quand Microsoft a corrigé la vulnérabilité de sécurité.
De type « élévation de privilège », cet exploit permet d’obtenir des droits supérieurs à ceux qu’il a normalement, ce qui rend possible d’exécuter à distance n’importe quel programme.
En d’autres termes, la Chine a découvert bien avant Shadow Brokers l’existence d’au moins un outil de piratage de la NSA, qu’elle a retourné contre les Américains.
Ainsi, Lockheed Martin, une entreprise américaine de défense, dont les clients sont pour la plupart américains, se serait aperçue début 2017 qu’elle était piratée à l’aide de l’outil chinois.
Récemment, APT31 s’est encore illustré en octobre : d’après Google, il aurait ciblé la campagne présidentielle de Joe Biden.
C’est la seconde fois qu’on découvre que des pirates chinois ont retourné une cyberarme de la NSA contre les États-Unis : en 2018, Symantec affirmait qu’une vulnérabilité jour zéro très puissante contre Windows, exploitée dans les outils de piratage EternalBlue et EternalRomance de la NSA, avait été reconvertie contre les Américains par un groupe chinois, bien avant leur divulgation par Shadow Brokers.
Alors que les États développent, ou achètent à prix d’or des vulnérabilités jour zéro pour constituer un arsenal de cyberarmes, au nom de la sécurité nationale, ce dernier épisode tend à donner raison aux spécialistes de la cybersécurité : toutes les vulnérabilités jour zéro devraient être confiées en toute confidence aux éditeurs de logiciels afin qu’ils développent des correctifs.
Car un cyberarsenal ne peut être protégé aussi efficacement qu’un arsenal traditionnel, et il est illusoire de croire qu’on peut garder le contrôle des cyberarmes, et qu’elles ne seront pas reconverties à notre encontre.
On se rappellera que Brad Smith, président de Microsoft, en 2017, avait comparé cette situation à l’armée américaine se faisant voler des missiles Tomahawk, et qu’il avait réitéré son appel aux gouvernements afin qu’ils se mettent d’accord sur une Convention de Genève numérique, qui interdise le stockage, la vente et l’utilisation des vulnérabilités logicielles, et impose leur dévoilement aux vendeurs. En vain malheureusement.