Le casse virtuel du siècle ? Peut-être pas, mais si l’information révélée par le New York Times s’avère exacte, nous allons tous passer quelques heures à mettre à jour nos mots de passe.
En effet, un groupe de pirates informatiques russes — surnommé CyberVor — est parvenu à récupérer 1,2 milliard d’identifiants et de mots de passe ainsi que 500 millions d’emails ! Selon les chercheurs de la société de sécurité informatique Hold Security, ils ont réussi à exploiter une faille de sécurité sur 420 000 sites ! « Cela va des entreprises référencées dans le classement Fortune 500 aux très petits sites » estime Alex Holden, fondateur de Hold Security, qui ajoute que la plupart des sites en question sont toujours vulnérables.
Le groupe à l’origine de cette attaque serait minuscule comparé à l’ampleur du butin : moins de douze personnes âgées de 20 ans en moyenne. Géographiquement parlant, les CyberVors seraient localisés dans une petite ville au sud de la Russie coincée entre le Kazakhstan et la Mongolie. Un petit groupe certes, mais relativement bien organisé avec des divisions : certains écrivent des programmes pendant que d’autres les exploitent pour voler des données.
Ce groupe a commencé à se faire connaître en 2011 en tant que « spammeurs amateurs ». Ils achetaient des bases de données d’emails et tentaient de piéger les internautes en les invitant à surfer sur des pages infectées. Mais depuis, ce groupe, surveillé depuis un certain temps déjà par la société Hold Security, est passé à la vitesse supérieure.
Afin de parvenir à amasser un tel butin, ils ont utilisé des botnets (des réseaux d'ordinateurs compromis qui peuvent être contrôlés à distance). A chaque fois qu’un ordinateur infecté se connectait à un site web, le programme mis au point par les hackers testait si celui-ci était vulnérable à leur injection SQL. Si le site s’avérait être attaquable, alors ils revenaient un peu plus tard pour voler les informations qui les intéressaient.
« Ils ont fait un audit d’Internet », déclare Alex Holden qui se demande combien d’ordinateurs infectés ils avaient à leur disposition quand ils ont commencé cette opération. D’après sa société, ils avaient en juillet plus de 4,5 milliards d’enregistrements (identifiant et mot de passe). Toutefois, certaines données étaient redondantes. Après analyse de celles-ci, Hold Security estime qu’ils ont à leur disposition plus de 1,2 milliard d’enregistrements uniques !
Hold Security a mis en place un formulaire afin de savoir si certaines de vos données ont été ou non piratées — un formulaire à prendre lui aussi avec précaution, on n'est jamais à l'abri de stratagèmes abracadabrantesques dans ce genre d'affaires. Ce formulaire sert en fait à profiter de Hold Identity, un service normalement payant, mais qui est gratuit exceptionnellement pendant 30 jours. De quoi se faire une belle base de clients facilement... On vous conseille tout simplement de ne pas vous servir de ce service et de changer vos mots de passe.
Cette révélation intervient alors que la fameuse conférence Black Hat dédiée à la sécurité se tient à Las Vegas cette semaine. Hold Security a souhaité rendre publique cette affaire, car le nombre de sites concernés est gigantesque. Il est impossible de tous les contacter un par un. C’est aussi une affaire de gros sous pour Hold Security, qui va prochainement mettre à disposition des entreprises un outil afin de déterminer s’ils ont été visités par les CyberVors.
Cette affaire se déroule dans un contexte international tendu entre la Russie et les États-Unis. Selon Alex Holden, il n’y a pas de lien évident entre ce groupe de hackers et le gouvernement russe. Ce dernier a toutefois la réputation d’être assez laxiste avec ce type d’organisations.
Pour en revenir aux données volées, il n’y a pas pour le moment péril en la demeure. Le groupe n’a pas vendu pour l’heure un grand nombre d’informations en ligne. Inutile de préciser qu’il y a beaucoup d’argent à se faire avec un tel fichier. Pour l’heure, ce groupe se « contente » d’utiliser les informations récoltées pour envoyer du spam notamment sur les réseaux sociaux, afin de rentabiliser leur travail.
Aucune société n’a communiqué pour l’heure sur cette affaire. On ignore par exemple si Apple, Google ou Facebook font partie des victimes des CyberVors. Une chose est certaine : ces douze derniers mois ont été catastrophiques sur le plan de la sécurité. Entre les failles majeures qui ont été découvertes comme celle relative à SSL (Heartbleed) et les attaques de grande envergure qui se multiplient, le net n’a jamais été aussi malmené.
