PARIS, 6 août 2014 (AFP) - S'il devait être avéré, le vol de 1,2 milliard de mots de passe constitue le piratage informatique le plus vaste jamais perpétré, selon des experts interrogés mercredi, qui notent la méthode peu commune mise en oeuvre à cette occasion.
La société spécialisée en sécurité informatique Hold Security affirme qu'un groupe de pirates russes s'est emparé d'environ 1,2 milliard de mots de passe et adresses mail dans le monde permettant de se connecter à 420.000 sites internet, de tout type et de toute taille.
Cette opération d'envergure aurait duré plusieurs mois entre 2013 et 2014, selon l'entreprise qui a déjà révélé plusieurs opérations cybercriminelles comme celle ayant touché l'éditeur de logiciels Adobe à l'automne dernier, et concernait le vol de données personnelles et bancaires de près de 3 millions de personnes.
"Si elle est avérée, ce serait la plus grosse opération de compilation de données volées", dit Loïc Guezo, directeur stratégie de la société de sécurité informatique Trend Micro pour l'Europe du sud.
"C'est une attaque relativement simple mais intéressante par sa largeur et sa méthode structurée, qui a utilisé des ordinateurs infectés pour tester la vulnérabilité de sites internet. C'est assez peu courant, la technique est fine", résume-t-il à l'AFP.
La plupart du temps, les cybercriminels ont dans le viseur une cible précise, comme une entreprise dont ils vont chercher les failles, alors que dans le cas présent ils ont commencé par infecter des ordinateurs de particuliers qu'ils ont mis en réseau (ce qu'on appelle un "botnet").
"Ces ordinateurs étaient alors missionnés par un logiciel malveillant pour tester si les sites internet visités par les utilisateurs comportaient des failles. Si c'était le cas, des attaques unitaires étaient alors menées. Il n'y avait donc pas de cible déterminée au départ, tout s'est fait au hasard de la navigation des ordinateurs infectés", souligne M. Guezo.
"C'est comme tester les portières de toutes les voitures sur un parking, et voir lesquelles ne sont pas été fermées à clé", renchérit Gérôme Billois, expert du cabinet Solucom.
- marché noir -
Les sites ayant montré des failles ont ensuite été attaqués via la technique de l'"injection SQL" (pour "Structured Query Language", langage structuré de requête). "Quelque chose de très classique qui permet de siphonner des bases de données sans être repéré", précise M. Billois. Environ 30% des sites internet sont vulnérables à ce type d'attaque.
"On n'est donc pas non plus sur un niveau d'attaque de type +services de renseignement+ ou +agence d'intelligence économique+", souligne-t-il.
Reste maintenant à savoir ce que vont faire les pirates de l'énorme masse de données récoltée: "ils peuvent les utiliser eux-mêmes pour des opérations malveillantes ou les mettre en vente sur le marché noir. Mais il y a certainement beaucoup de déchets dans ce qu'ils ont récupéré et ils vont se concentrer sur les mots de passe actifs", estime Loïc Guezo.
"Une fois qu'on a le +login+ et le mot de passe d'une personne, on peut récupérer des infos très personnelles comme l'historique des achats, des discussions sur des forums, des photos, des adresses du domicile, ce qui fait augmenter la qualité de la fraude ensuite. On n'est plus sur du spam disant +cliquez ici, vous avez gagné 100.000 euros+, mais plutôt du style: +lors de votre dernière commande sur tel site, on a eu un problème avec votre adresse de livraison, veuillez retaper votre numéro de carte bancaire pour nous confirmer votre identité+", détaille Gérôme Billois.
Les deux experts soulignent qu'il y a peu de chances que le nom des sites touchés par cette attaque soient révélés, car tous les pays n'imposent pas aux entreprises de déclarer publiquement qu'ils ont subi des vols de données personnelles.
"Ce type d'annonce a un côté anxiogène pour le grand public, qui ne sait pas qui a été ciblé et s'il doit changer tous ses mots de passe, ce qui de toute façon ne sert à rien si les sites internet n'ont pas corrigé leurs vulnérabilités", résume M. Billois.
Les deux experts relèvent également "l'approche commerciale" de Hold Security, qui consacre le dernier tiers de sa communication au détail des offres qu'il propose pour pallier ce genre d'attaques informatiques.
La société spécialisée en sécurité informatique Hold Security affirme qu'un groupe de pirates russes s'est emparé d'environ 1,2 milliard de mots de passe et adresses mail dans le monde permettant de se connecter à 420.000 sites internet, de tout type et de toute taille.
Cette opération d'envergure aurait duré plusieurs mois entre 2013 et 2014, selon l'entreprise qui a déjà révélé plusieurs opérations cybercriminelles comme celle ayant touché l'éditeur de logiciels Adobe à l'automne dernier, et concernait le vol de données personnelles et bancaires de près de 3 millions de personnes.
"Si elle est avérée, ce serait la plus grosse opération de compilation de données volées", dit Loïc Guezo, directeur stratégie de la société de sécurité informatique Trend Micro pour l'Europe du sud.
"C'est une attaque relativement simple mais intéressante par sa largeur et sa méthode structurée, qui a utilisé des ordinateurs infectés pour tester la vulnérabilité de sites internet. C'est assez peu courant, la technique est fine", résume-t-il à l'AFP.
La plupart du temps, les cybercriminels ont dans le viseur une cible précise, comme une entreprise dont ils vont chercher les failles, alors que dans le cas présent ils ont commencé par infecter des ordinateurs de particuliers qu'ils ont mis en réseau (ce qu'on appelle un "botnet").
"Ces ordinateurs étaient alors missionnés par un logiciel malveillant pour tester si les sites internet visités par les utilisateurs comportaient des failles. Si c'était le cas, des attaques unitaires étaient alors menées. Il n'y avait donc pas de cible déterminée au départ, tout s'est fait au hasard de la navigation des ordinateurs infectés", souligne M. Guezo.
"C'est comme tester les portières de toutes les voitures sur un parking, et voir lesquelles ne sont pas été fermées à clé", renchérit Gérôme Billois, expert du cabinet Solucom.
- marché noir -
Les sites ayant montré des failles ont ensuite été attaqués via la technique de l'"injection SQL" (pour "Structured Query Language", langage structuré de requête). "Quelque chose de très classique qui permet de siphonner des bases de données sans être repéré", précise M. Billois. Environ 30% des sites internet sont vulnérables à ce type d'attaque.
"On n'est donc pas non plus sur un niveau d'attaque de type +services de renseignement+ ou +agence d'intelligence économique+", souligne-t-il.
Reste maintenant à savoir ce que vont faire les pirates de l'énorme masse de données récoltée: "ils peuvent les utiliser eux-mêmes pour des opérations malveillantes ou les mettre en vente sur le marché noir. Mais il y a certainement beaucoup de déchets dans ce qu'ils ont récupéré et ils vont se concentrer sur les mots de passe actifs", estime Loïc Guezo.
"Une fois qu'on a le +login+ et le mot de passe d'une personne, on peut récupérer des infos très personnelles comme l'historique des achats, des discussions sur des forums, des photos, des adresses du domicile, ce qui fait augmenter la qualité de la fraude ensuite. On n'est plus sur du spam disant +cliquez ici, vous avez gagné 100.000 euros+, mais plutôt du style: +lors de votre dernière commande sur tel site, on a eu un problème avec votre adresse de livraison, veuillez retaper votre numéro de carte bancaire pour nous confirmer votre identité+", détaille Gérôme Billois.
Les deux experts soulignent qu'il y a peu de chances que le nom des sites touchés par cette attaque soient révélés, car tous les pays n'imposent pas aux entreprises de déclarer publiquement qu'ils ont subi des vols de données personnelles.
"Ce type d'annonce a un côté anxiogène pour le grand public, qui ne sait pas qui a été ciblé et s'il doit changer tous ses mots de passe, ce qui de toute façon ne sert à rien si les sites internet n'ont pas corrigé leurs vulnérabilités", résume M. Billois.
Les deux experts relèvent également "l'approche commerciale" de Hold Security, qui consacre le dernier tiers de sa communication au détail des offres qu'il propose pour pallier ce genre d'attaques informatiques.