Une campagne de crowdfunding propose d'acheter au groupe de hackers Shadow Brokers toute une série de cyberarmes volées à la NSA, afin d'éviter qu'elles tombent entre de mauvaises mains et causent d'autres attaques comme WannaCry.

Mise à jour du 1er juin 2017 : Hacker House, l'entreprise de cybersécurité à l'origine de la campagne de crowdfunding, a annulé l'initiative pour des raisons légales. "Il apparaît que si des fonds devaient passer de nos mains à celles des Shadow Brokers, nous risquerions certainement des complications légales", a expliqué Matthew Hickey, cofondateur et directeur de l'entreprise, à la BBC. Il a ajouté avec humour : "Si vous voulez un jour entendre un avocat hurler des jurons au téléphone, appelez-le et dites lui que vous avez lancé la première tentative d'achat en financement participatif de cyberarmes."

Les fonds déjà récoltés seront reversés au groupe de défense des droits numériques Electronic Frontier Foundation.

--

Voilà ce qu'on peut appeller un dilemme. Un groupe de pirates informatiques a mis à la vente des documents volés à l'Agence de sécurité nationale américaine (NSA), mais les questions éthiques et pratiques de cette transaction sont compliquées à démêler. Notamment parce que les Shadow Brokers, les hackers ayant dérobés l'arsenal informatique, demandent une importante somme de crypto-monnaie.

VOIR AUSSI : Les sous-titres de films téléchargés peuvent ouvrir votre ordinateur aux hackers

Alors que faire ? Eh bien, si vous êtes deux brillants chercheurs en cybersécurité, la réponse est simple : lancer une campagne de financement participatif. Oui, il y a maintenant une cagnotte Patreon pour racheter les astuces de la NSA. Mais ce n'est pas ce que vous pensez. Ces deux chercheurs, qui se cachent sous les pseudonymes de Hacker Fantastic et x0rz, espèrent qu'en achetant ces données, ils pourront les analyser et peut-être éviter une attaque du type du ransomware WannaCry.

"Nous notifierons les vendeurs et partagerons les données avec tous les chercheurs impliqués. Nous nous attendons à des pratiques de divulgation responsables."

Abonnement mensuel

Tout cela nous ramène aux Shadow Brokers. Ce groupe de hackers avait déjà tenté, en avril dernier, de vendre à des grandes entreprises de la tech leurs informations sur des failles informatiques découvertes sur plusieurs versions de Windows et exploitées par la NSA. Faisant face aux refus de celles-ci, ils avaient révélé gratuitement une partie de l’arsenal d’espionnage de la NSA en ligne.

En mai, après avoir été responsable de la fuite de fichiers qui a permis l'émergence de WannaCry, un ransomware qui a touché le monde entier, ils ont annoncé le lancement d'une sorte de "club du hacking" sur abonnement mensuel. Selon un article de blog posté par les pirates, les personnes inscrites auront accès à de nouveaux documents concernant l'arsenal numérique de la NSA.

"Les gens peuvent payer leur abonnement, et recevront mensuellement les données divulguées"

"TheShadowBrokers a lancé un modèle d'abonnement mensuel", expliquent-ils. "C'est comme recevoir le vin du mois. Les gens peuvent payer leur abonnement, et recevront mensuellement les données divulguées."

Cette menace ne doit pas être prise à la légère. Une seule faille informatique connue de la NSAEternalBlue – a suffi à propager mondialement WannaCry. Si chaque technique de hack détenue par les Shadow Brokers permet un virus de même ampleur, il ne s'agira pas seulement d'un immense cauchemar numérique – des gens pourraient mourir.

wannacry-ransomware-hack-shadow-brokers_crowdfunding.jpg
WannaCry n'est pas une petite blagounette.
B. TONGO/EPA/REX/SHUTTERSTOCK

Mais ce n'est pas inévitable. Hacker Fantastic et x0rz soutiennent qu'un accès anticipé à ces données leur permettrait de développer et partager des solutions pour combler la faille. D'où la campagne de crowdfunding.

Anticiper les attaques

Les Shadow Brokers ont demandé paiement en Zcash, une crypt-monnaie, et les deux chercheurs pensent que le mieux est de payer. Pourquoi ? Parce ces informations risquent de toute façon de sortir un jour, d'une manière ou d'une autre.

"Je pense qu'ils finiront par les divulguer pour provoquer le chaos", a confirmé à Mashable x0rz en message privé sur Twitter, rappelant l'épisode d'avril. "Jusqu'ici, les Shadow Brokers n'ont pas dit qu'ils les diffuseraient gratuitement si aucun acheteur ne se présente, mais cela pourrait arriver."

X0rz ajoute qu'avoir accès à ces informations "même 48 heures avant peut être bénéfique pour la communauté" afin que "les vendeurs et les développeurs puissent rattraper et combler les failles de sécurité".

Un jeu dangereux

Bien sûr, cette tactique est imparfaite. Bien sûr, donner 100 ZEC (20 884 euros au moment de publier cet article) à d'anonymes cybercriminels n'est pas la meilleure option en matière de sécurité. Les Shadow Brokers pourraient utiliser l'argent pour financer des actions malveillantes, ou garder l'argent mais ne pas transmettre les données. Certains appellent donc à ce qu'il n'y ait pas de transaction.

"Ne négociez pas avec les terroristes, n'achetez pas les données piratées"

Hacker Fantastic et x0rz pensent tout de même que le jeu en vaut la chandelle.

"Le crowdfunding est un moyen de donner le montant "minimum" aux Shadow Brokers tout en donnant la possibilité aux vendeurs/développeurs de rattraper le coup"

"Donc oui, c'est à la fois positif et négatif. Faites votre choix. Ne nous blâmez pas pour cette initiative, blâmez plutôt ce qui nous pousse à la prendre"

Ceux qui veulent participer peuvent donner la somme qu'ils veulent, mais en donnant 1 300 dollars ou plus les donateurs auront un accès direct aux données des Shadow Brokers dès leur diffusion aux deux chercheurs. Et pour empêcher qu'un autre criminel ne profite de leur initiative pour avoir accès à ces failles et ne lance une attaque de grande envergure, Fantastic Hacker et x0rz limiteront cet accès direct aux "hackers en chapeau blanc doté d'une éthique" qui prouveront leur identité. C'est déjà ça.

En attendant, le temps passe. L'offre des Shadow Brokers finit le 30 juin, il reste moins d'un mois pour réunir la somme. Si le crowdfunding n'atteint pas son but, l'argent sera reversé à des associations.

Et s'ils réussissent ? Alors le monde aura peut-être une petite chance de résister au prochain WannaCry.

– Adapté par Charlotte Viguié. Retrouvez la version originale sur Mashable.

Quelque chose à ajouter ? Dites-le en commentaire.