Sécurité IT : de la surenchère dans les vols massifs de données
La firme américaine Hold Security lève le voile sur une cyber-attaque impliquant plus de 420 000 sites Web et serveurs FTP, avec 1,2 milliard de mots de passe volés.
Près d’un demi-million de sites Web et serveurs FTP hackés, plus d’un milliard de mots de passe exfiltrés : Hold Security assure avoir mis le doigt sur une cyber-attaque sans précédent dans la catégorie des vols massifs de données.
La firme américaine s’était déjà distinguée à plusieurs reprises au cours des derniers mois en révélant notamment la faille qui avait exposé les informations personnelles de plusieurs dizaines de millions d’utilisateurs des services en ligne d’Adobe. Elle avait également identifié, fin 2013, la campagne de piratage dirigée contre l’enseigne de distribution américaine Target et qui avait mené à la fuite des données renseignées par plus de 100 millions de clients.
Ce qui n’est finalement pas grand-chose comparé à l’opération dont il est aujourd’hui question. Le collectif de pirates russes à l’origine des méfaits est parvenu à récupérer 1,2 milliard d’identifiants de connexion associés pour la plupart à des mots de passe et correspondant à environ 500 millions d’adresses e-mail différentes. D’après Hold Security, le butin est même quatre fois plus important, mais les nombreux doublons et les adresses e-mail « jetables » – inutiles pour les pirates – en ont été soustraits.
Quoi qu’il en soit, la sonnette d’alarme est tirée : « Que vous soyez un expert en informatique ou au contraire un technophobe, vous figurez potentiellement sur la liste des victimes dès lors que vous avez stocké des données sur le Web« . Dans leur contribution blog publiée ce 4 août, les équipes de Hold Security précisent que lesdites données ne sont généralement pas volées directement à l’utilisateur final : elles sont récupérées chez les prestataires de services en ligne ou encore soutirées « à l’employeur, aux amis, à la famille ».
Le collectif de pirates ne s’étant fait connaître sous aucun nom en particulier, Hold Security l’a appelé CyberVor, « vor » signifiant « voleur » en russe. On ignore pour l’heure quels sites ont été visés, mais le panel est très large, « des grandes institutions aux sites personnels créés par des particuliers ». Une liste préliminaire ne sera publiée que lorsque la vulnérabilité aura été totalement corrigée.
Les pirates auraient agi en deux temps. Initialement, ils auraient acheté, sur le marché noir, des bases de données ensuite exploitées pour envoyer du spam déclenchant l’installation, sur les machines des victimes, d’un logiciel malveillant effectuant des redirections de trafic. Début 2014 a démarré la phase de test des services Web : grâce aux données récupérées par des réseaux d’ordinateurs zombies (« botnets » infectés et contrôlés à distance), plus de 400 000 sites et serveurs FTP ont été identifiés comme vulnérables à des injections SQL. De quoi infiltrer leurs bases de données… et récupérer plus d’un milliard de mots de passe.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?