Yahoo, Dropbox, LinkedIn… Gros hacks en petit comité

Clément Bohic,
CyberDéfenseRisquesSécurité
yahoo-group-e

Un expert reconnu en sécurité IT attribue les vols massifs de données subis par Yahoo, Dropbox ou encore LinkedIn à un même groupe de pirates.

Tessa88, Peace of Mind, Hell Forum et Group E : dans le récit d’Andrew Komarov, ils sont quatre acteurs… pour des hacks à profusion.

Au gré de ses recherches, l’expert en sécurité – qui a notamment étudié la Syrian Electronic Army et le malware BlackPOS utilisé contre plusieurs grandes chaînes de magasins aux États-Unis – a établi des liens entre ces protagonistes et les piratages massifs subis par Yahoo, Dropbox, MySpace, Tumblr ou encore LinkedIn.

La société InfoArmor, dont Andrew Komarov est aujourd’hui CIO, affirme suivre Group E depuis 2013. Il s’agirait d’un collectif de cinq pirates basé en Europe de l’Est et à l’origine d’offensives ayant entraîné la fuite de plus de 2 milliards de jeux de données. On lui devrait notamment l’assaut dont Yahoo a récemment reconnu avoir été victime il y a près de deux ans.

Le groupe Internet américain suppose* qu’un « agent piloté par un État » l’a pris pour cible. Selon InfoArmor, c’est inexact : l’agent en question n’est intervenu qu’en second lieu, pour acheter les données à Group E.

Des maillons dans la chaîne

La vente ne se serait pas faite en direct. Elle aurait impliqué un intermédiaire ; en l’occurrence, le fameux Tessa88, actif sur plusieurs forums underground.

Sa première annonce concernant la mise en vente d’informations volées à Yahoo remonte à février 2016. Dans le même temps, il propose des jeux de données pour plusieurs autres places fortes du Web dont MySpace (380 millions d’utilisateurs concernés), le réseau social russe Vkontakte (137 millions), Badoo (126 millions) et Dropbox (103 millions).

Peace of Mind entre dans la boucle au mois de mai. Une coopération se noue avec Tessa88, résultant en un échange de données… qui tourne au vinaigre.

S’apercevant que son partenaire commence à monétiser ses données sans autorisation, Tessa88 monte au créneau. Peace of Mind en rajoute une couche en l’accusant de falsifier des données, à tel point que le « pack Dropbox » concerne en fait des utilisateurs de Tumblr.

Le 10 juin, Tessa88 est mis sur la liste noire de plusieurs communautés du darkweb par un utilisateur qui dénonce la « mauvaise qualité » de ses produits. Pendant ce temps, Peace of Mind continue son business, jusqu’à publier, début août, un échantillon de données Yahoo sur la place de marché « The Real Deal ».

Du vrai et du faux

D’après Andrew Komarov, les médias se sont concentrés sur l’ampleur du hack (on pressentait, à l’époque, 200 millions d’utilisateurs affectés) et n’ont pas vérifié l’authenticité des données. Or, la plupart d’entre elles ne sont pas valides. Quant aux quelques-unes qui le sont, ce serait essentiellement lié au fait que certains utilisateurs ont le même mot de passe sur plusieurs services en ligne.

InfoArmor ne précise pas comment il a pu accéder aux données, mais assure qu’elles ont été vendues à « au moins trois entités », dont ce mystérieux État qu’on pressent être la Chine ou la Russie.

Le parallèle est fait avec un deuxième groupe de pirates, baptisé « For Hell » et qui a la particularité de s’appuyer sur le même intermédiaire (Tessa88). L’un de ses membres est connu pour avoir participé aux hacks des sites de rencontres Ashley Madison et Adult Friend Finder, ainsi que de la police nationale turque.

* Cet épisode vaut à Yahoo des actions en justice, dont l’une d’un résident de New York qui cherche à monter un recours collectif en Californie.


Clément Bohic
Auteur : Clément Bohic
Lire la biographie de l´auteur  Masquer la biographie de l´auteur