Microsoft s'est empressé d'annoncer au monde entier que les failles utilisées par la NSA avaient été comblées, certaines depuis plusieurs années. Mais cela n'a pas rassuré les spécialistes de la sécurité informatique.
DoublePulsar : un malware pour télécharger d'autres malwares
L'un des outils les plus puissants révélés par les Shadow Brokers est DoublePulsar. Il s'agit d'un malware développé par la NSA qui sert tout simplement de porte d'entrée à d'autres outils : une fois installé sur l'ordinateur de la cible il télécharge et installe d'autres malwares pour l'espionnage des données et des communications. Un véritable couteau suisse qui a encore de beaux jours devant lui.Le malware s'installe via les ports SMB (Server Message Block) 445 ouverts. Selon la firme spécialisée dans la sécurité informatique Below0Day, pas moins de 5,5 millions d'ordinateurs connectés à Internet dans le monde peuvent encore être infectés par ce malware car ils n'ont pas installé les mises à jour de sécurité déployées par Microsoft pour combler les failles.
Un test pour savoir si votre ordinateur est infecté
Si vous vous inquiétez de savoir si votre ordinateur a été infecté, il existe un outil. Malheureusement, il n'est pas facile d'utilisation et nécessite des connaissances poussées en informatique. Publié sur GitHub, il a été développé par Luke Jennings de l'entreprise spécialisée dans la sécurité informatique Coutercept. L'outil est spécialement conçu pour identifier DoublePulsar sur un système.Below0Day a utilisé cet outil pour voir le niveau de propagation de DoublePulsar. Elle a twitté un graphique montrant près de 55.000 ordinateurs infectés. Les résultats des autres firmes de sécurité ayant fait le même test montrent des chiffres similaires, allant de 30.000 à plus de 100.000 ordinateurs infectés.
Scan 4.22.17 with latest @Countercept detect script #DOUBLEPULSAR SMB implant Top25 countries 56,586 detected! #shadowbrokers #infosec pic.twitter.com/KNT2Uo35OV
— Below0Day (@belowzeroday) 23 avril 2017