Affaire Shadow Brokers

Plus de 100’000 PC infectés par une porte dérobée de la NSA?

Listé dans les récents documents publiés par les hackers de Shadow Brokers, un module malveillant qui permettrait à la NSA d’exploiter une porte dérobée pourrait infecter plusieurs dizaines de milliers d’ordinateurs dans le monde.

(Source: iStock)
(Source: iStock)

La fuite de documents orchestrée récemment par Shadow Brokers continue de faire des vagues. Le groupe de hackers a levé le voile sur une liste de failles dans Windows qui, selon les avis concordant de plusieurs experts en cybersécurité, inclut des malwares utilisés par la NSA (l’Agence nationale de sécurité américaine). Si Microsoft a déjà publié plusieurs correctifs, un grand nombre d’ordinateurs serait toutefois infectés dans le monde, via le module Doublepulsar qui permet d'utiliser une «porte dérobée et prendre complètement le contrôle de la machine infectée», explique à ICTjournal Yann Desmarest, Innovation Center Manager chez e-Xpert Solutions (lire interview).

Plus de 100'000 machines pourraient être infectées

BinaryEdge, start-up zurichoise, a mis à profit sa technologie (qui scanne les données de l’internet public) pour tenter de connaître le nombre d’adresses IP liées aux PC infectés par Doublepulsar. La firme a pour ce faire d’abord modifié un script de détection de Doublepulsar publié sur GitHub. Elle a dirigé ce script vers des adresses au port 445 ouvert, ce port étant utilisé dans l’activation de la porte dérobée. La procédure a permis à BinaryEdge de réaliser des scans à l’échelle mondiale. La première analyse, le 21 avril, a dénombré 106'410 infections. Un chiffre passé à plus de 428'000 ce 27 avril. Selon l’analyse de la start-up zurichoise, la très grande majorité des systèmes infectés se trouvent aux Etats-Unis (plus de 67'000). Suivent Hong Kong (7485) et la Chine (3331). En Suisse, 123 infections ont été détectées. Binary Edge précise en outre que le malware Doublepulsar peut avoir été exploité par d’autres acteurs que la NSA. Yann Desmarest d’e-Xpert Solutions préfère néanmoins rester prudent concernant les chiffres du nombre de machines infectés avancés par différentes sociétés de sécurité, car ils ne sont pas réellement cohérents les uns par rapport aux autres.

Tags
Webcode
DPF8_38153