"BlueKeep", la faille de Windows qui menace un million de PC, mène-t-elle une fois de plus à la NSA américaine ?

par Cédric INGRAND
Publié le 5 juin 2019 à 17h03, mis à jour le 5 juin 2019 à 17h10
"BlueKeep", la faille de Windows qui menace un million de PC, mène-t-elle une fois de plus à la NSA américaine ?

CYBERATTAQUE - "BlueKeep", la faille de sécurité qui alarme autant Microsoft que la Place Beauveau depuis quelques jours, en rappelle d'autres. Assez pour se demander si, une fois de plus, l'agence nationale de sécurité américaine n'en avait pas connaissance.

Si vous utilisez encore un PC sous Windows 7, sous Windows XP, des serveurs sous Windows Server 2008 ou Windows 2003, vous pouvez arrêter de lire cet article, au moins le temps d'aller lancer les dernières mises à jour de sécurité du système, voire  -et c'est mieux- migrer vers une version plus récente de Windows. Une mesure d'urgence face à une menace que votre système actuel ne sait pas parer. Cette faille, baptisée "BlueKeep", en rappelle d'autres que l'on ne doit pas à des hackers russes ou chinois, mais bien à la fine fleur du renseignement américain.

Si "BlueKeep" fait peur, c'est par son étendue et sa sévérité. Déclarée par Microsoft mi-mai, la faille est "wormable" et pourrait être utilisée pour lancer une attaque de grande ampleur via un ver informatique qui pourrait se déployer automatiquement sur les machines affectées -fonctionnant sous de vieilles versions de Windows, il en resterait plus d'un million en activité, principalement dans des réseaux d'entreprises ou des PC embarqués utilisés dans l'industrie. En France, le ministère de l'Intérieur a relayé l'alerte sur son compte Twitter.

À la NSA, on garde ses bugs pour soi

Dans le monde de la sécurité informatique, les bugs, les failles de sécurité, les logiciels mal conçus et les systèmes mal protégés sont de l'ordre du pain quotidien. Pas un mois, pas une semaine qui n'apporte son lot de problèmes en tous genres. Ceux que vous voyez, par exemple à l'occasion d'une mise à jour système de votre smartphone, et tous ceux dont vous n'entendrez pas parler car touchant les serveurs, les routeurs, toute l'infrastructure des réseaux. 

La chose est si habituelle que depuis les années 90, une infrastructure de gestion des bugs est en place entre les spécialistes de la sécurité dans les entreprises, les grands éditeurs et même certains hackers. Un accord entre gentlemen qui permet d'avertir de la découverte d'une erreur, tout en incitant l'éditeur du logiciel en cause à la corriger, et, pour les entreprises, à se protéger avant que des pirates ne puissent en profiter. Tout le monde ici travaille dans l'intérêt général, celui de la sécurité des systèmes et des réseaux. Et quand on découvre une faille, on la signale, toujours.

Parmi les exceptions à la règle, figurent ceux qui ont intérêt à ce que la faille ne soit corrigée que le plus tard possible : les pirates et cybercriminels en tous genres, mais aussi certaines agences de renseignement. Première de la liste, la NSA, l'un des plus grands employeurs de spécialistes en sécurité aux États-Unis, une cyberarmée d'élite, aux moyens presque infinis et aux visées pas seulement défensives.

Depuis ses débuts il y a plus soixante ans, le métier de la NSA, c'est d'écouter, d'enregistrer, d'intercepter puis d'analyser toutes sortes de communications dans le monde entier. De grandes oreilles dont l'essentiel du terrain de jeu aujourd'hui se trouve sur les réseaux. Ici, on recherche activement des failles de sécurité pour se créer des portes d'entrées dans des systèmes cibles. Depuis l'affaire Snowden, on sait à quel point l'agence considère chaque faille active comme un trophée et comme un sérieux avantage concurrentiel.

Quand les "Shadow Brokers" mettent aux enchères la boîte à outils de la NSA

Le problème, c'est que l'agence n'a aucune motivation à avertir Microsoft et les autres quand elle découvre une porte d'entrée dans leurs systèmes. Pour la NSA, les meilleures failles sont celles qui durent, même si leur existence est une menace pour la sécurité de tous les utilisateurs et de toutes les entreprises concernés. Sur le plan de la sécurité pure, le consensus des experts est clair : l'agence est terriblement irresponsable. Comme l'explique Snowden, dans les murs de la NSA, on se lamente régulièrement de voir des failles de sécurité corrigées. D'autant qu'une fois une faille découverte, l'agence développe ses propres outils pour l'exploiter, des logiciels de détection et de pénétration des systèmes qui permettent de mettre la main sur des informations jusque-là inaccessibles.

Un système efficace, mais pas très moral, qui aurait pu perdurer en silence, si ce n'était une fuite, la fuite de trop. En 2016, un groupe baptisé "The Shadow Brokers" a ainsi annoncé qu'il détenait le catalogue des logiciels de piratage de la NSA, ses méthodes, ses outils et les failles utilisées. Une boîte à outils datant de 2013, que les pirates ont mis aux enchères, sans trouver preneur. Depuis, le groupe -qui selon les hypothèses serait composé de hackers d'Europe de l'Est ou tout simplement des agents du FSB russe- a publié certains outils, certains exploits, ces logiciels qui permettent justement de profiter d'une faille. C'est exactement ce qui s'est passé il y a trois ans, quand le ver WannaCry a infecté plus de 200.000 ordinateurs dans 150 pays, demandant une rançon à leurs propriétaires sous peine de détruire les données qui s'y trouvaient. Un ransomware à une échelle sans précédent, qui aurait causé plus de quatre milliards de dollars de pertes aux entreprises affectées. Une faille qui aurait été corrigée à temps et à coup sûr si la NSA l'avait signalée.

Baltimore : une ville paralysée par les hackersSource : JT 20h Semaine

Soyons clairs : rien ne prouve à ce jour que "BlueKeep" ait fait partie de l'arsenal des failles secrètes découvertes par la NSA. Ce qui trouble en revanche, ce sont les précédents, les similitudes troublantes avec certaines failles cachées par l'agence américaine, comme EternalBlue. 

Peut-être que l'agence de renseignement a changé de politique depuis ? La NSA vient en effet de publier sur les réseaux sociaux et sur son propre site un communiqué complet sur la dangerosité de "BlueKeep" et les mesures à adopter pour s'en protéger.

 Si la rumeur qui relie l'agence à la faille dit vrai, alors le communiqué est un trésor d'humour noir.


Cédric INGRAND

Tout
TF1 Info