TechCrunch a souligné que « l'Équipe Ombre », apparue soudainement en 2016, reste l'un des mystères les plus difficiles à résoudre de l'histoire de la cybersécurité. Ce groupe a publié en ligne une série d'outils de piratage supposément issus de la National Security Agency (NSA) des États-Unis, avant de disparaître rapidement de la scène. Dix ans plus tard, l'identité réelle du groupe demeure inconnue, et personne n'a été officiellement inculpé dans le cadre de cette fuite.
Outils publiés au nom de l'enchère
Cet événement est initialement apparu sous la forme d'un document intitulé « Equation Group Cyber Weapons Auction — Invitation », accompagné de liens de téléchargement pour certaines outils et d'un fichier compressé chiffré. Le diffuseur affirme que les enchérisseurs peuvent débloquer davantage de contenu en soumettant des offres, et réclame au moins 1 million de bitcoins.
Les chercheurs en sécurité ont ensuite analysé et constaté que ces outils présentaient un niveau de complexité extrêmement élevé ; la communauté extérieure les associe généralement à des opérations de piratage liées à la NSA. Certains noms de projets correspondent à ceux révélés par Snowden, renforçant davantage cette hypothèse.
Cependant, cette prétendue vente aux enchères a ensuite été considérée comme plus un coup de publicité. Quelques mois plus tard, « l’Équipe Ombre » a progressivement rendu publics de nombreux outils directement, plutôt que de les vendre aux enchères.
L'identité n'est toujours pas établie
Autour de l'identité secrète, diverses hypothèses ont été avancées. Les rapports mentionnent que certains ont soupçonné la participation de membres de la NSA ou d'anciens sous-traitants. Harold Martin III a un moment été considéré comme un possible candidat, après avoir été arrêté pour avoir volé des informations classifiées de la NSA.
Cependant, cette hypothèse manque toujours de preuves directes. L'une des raisons est que, pendant la détention de Martin, « l'Équipe Ombre » a continué à être active en ligne. Il n'a jamais été officiellement accusé en lien avec ces outils divulgués.
Une affirmation couramment citée est que cette identité pourrait être un outil de propagande créé par un groupe de pirates lié au renseignement russe. Toutefois, cette hypothèse n'a pas encore été confirmée publiquement.
L'outil de fuite a modifié l'échelle de l'attaque
Cet événement a eu un impact profond non seulement en raison de son lien avec les agences de renseignement américaines, mais aussi parce que les outils divulgués ont été rapidement weaponisés. Le plus remarqué parmi eux est EternalBlue, un ensemble d'exploits zero-day ciblant Windows, permettant aux attaquants d'accéder aux réseaux cibles et de se propager rapidement d'un système à un autre.
Par la suite, les hackers nord-coréens ont utilisé EternalBlue dans l'attaque par le ver ransomware WannaCry. Des hackers russes l'ont ensuite intégré dans NotPetya. Ce dernier, initialement ciblé sur l'Ukraine, s'est finalement propagé à l'échelle mondiale, entraînant des pertes estimées à 10 milliards de dollars.
Pour les entreprises, la leçon de cet événement est très claire : les vulnérabilités accumulées par les agences de renseignement ne resteront pas secrètes éternellement ; une fois divulguées, ce sont souvent les institutions civiles et les systèmes commerciaux qui en paient le prix le plus élevé.
Certains échantillons sont encore en cours d'étude
L'article mentionne également que ces contenus divulgués continuent de produire de nouvelles découvertes. Récemment, les chercheurs ont localisé et analysé un échantillon d'un projet nommé Fast16. Cet échantillon remonte à 2005 et était conçu pour altérer des logiciels supposément utilisés par des scientifiques nucléaires iraniens.
Cela signifie que, bien que l'événement des « Shadow Brokers » soit passé depuis dix ans, les documents divulgués continuent de fournir des indices aux chercheurs et de rappeler au monde entier qu'une fuite d'informations non résolue peut continuer d'affecter le paysage de la cybersécurité mondiale des années plus tard.