Les outils de piratage de la NSA sont utilisés en masse

Quand les outils de la NSA tombent entre les mains de hackers mal intentionnés, cela peut vite se transformer en problème de sécurité informatique majeur. C’est ce qui est en train de se passer avec DoublePulsar, un malware qui se répand actuellement à vitesse grand V sur les systèmes Windows.

Il y a quelques semaines, les hackers du mystérieux groupe Shadow Brokers ont mis à disposition sur la toile une armada d’outils informatiques très puissants utilisés habituellement par la NSA. Plus précisément, l’archive pesant environ 300 Mo contient des outils dérobés à Equation Group, une entité proche de l’agence de sécurité américaine. Évidemment, ces programmes ont depuis été récupérés et mis à contribution par de très nombreux pirates informatiques dans le monde, le “darknet” regorgeant visiblement de moyens de télécharger ces outils, ainsi que des tutoriels et autres guides pratiques pour s’en servir.

La diffusion de ces outils, qui permettent essentiellement de s’en prendre aux appareils et systèmes tournant sous Windows, a immédiatement placé Microsoft au centre des débats. La firme de Redmond s’est voulue extrêmement rassurante dès ses premières prises de parole sur le sujet, expliquant que les brèches exploitées par ces outils subtilisés à la NSA avaient été colmatées. Mais voilà, ce n’est pas parce que Microsoft a fait l’effort de corriger ces failles que tous les systèmes Windows sont protégés. Non, il faut pour cela qu’ils aient été mis à jour. Une nuance lourde de conséquences puisque l’on apprend aujourd’hui par l’intermédiaire d’experts en sécurité (comme BinaryEdge) que des milliers de PC et serveurs Windows ont été infectés par un malware nommé “DoublePulsar”, capable d’injecter dans le système des DLL vérolés ouvrant une “backdoor” permettant aux pirates mal intentionnés de s’y introduire.

Près de 200 000 systèmes déjà touchés

La société Countercept a publié un script permettant de détecter les systèmes infectés par ce malware, que BinaryEdge a fait tourner pour comptabiliser un peu plus de 106 000 infections en fin de semaine dernière, et plus de 183 000 en ce début de semaine. DoublePulsar se répandrait donc assez vite dans le monde entier, des systèmes vérolés ayant été détectés un peu partout même si ce sont les États-Unis qui — avec plus de 67 000 cas recensés — sont les plus touchés. En France, près de 300 machines étaient concernées au 24 avril. Ces chiffres sont toutefois contestés par certains experts, comme Rob Graham, spécialiste des scans de ce genre, qui évoque lui quelque 41 000 infections.

Reste que les analyses de Dan Tetler sur lesquelles se sont appuyés nos confrères d’Ars Technica confirment l’ampleur des dégâts. Lui-même est en train d’effectuer un scan des systèmes infectés et remarque, après vérification manuelle, que sur 50 systèmes ayant été détectés comme touchés par DoublePulsar, tous l’étaient réellement. Selon ses termes, nous assistons à un véritable “bain de sang” et ce n’est pas fini, car une fois infectés, les ordinateurs et serveurs peuvent être utilisés pour infecter d’autres systèmes et transformés en botnets pour sévir dans le cadre d’attaques à grande échelle.

 

 

Source:lesnumeriques.com

Laisser un commentaire