Cette année encore, les pirates nous ont réservé bien des surprises. Ils ont réussi à figer une partie de l’internet avec une armée d’objets connectés infectés. Ils ont volé des millions de dollars dans des banques internationales. Ils ont fait fuiter plus d’un milliard de mots de passe sur le web. Et ils parviendront peut-être à provoquer une crise politique majeure entre deux superpuissances…
La déferlante des ransomwares
L’année 2016 a été marquée par la montée en puissance très nette des « ransomwares », ou rançongiciels. Selon Avast, plus de 150 nouvelles formes de ransomware ont été détectées cette année. Ils s’appellent Locky, Jigsaw, Petya, Ransom32, CryptoWall, TeslaCrypt, Popcorn Time, etc. Ils arrivent généralement par le spam email et, une fois exécutés, chiffrent tout ou partie du disque dur pour extorquer ensuite des sommes d’argents. Les particuliers s’en tirent pour quelques centaines d’euros, les entreprises en revanche doivent mettre plusieurs milliers voire dizaines de milliers d’euros. Si les victimes n’ont pas fait de sauvegardes, elles sont généralement prêtes à payer. Quant aux forces de l’ordre, elles ont beaucoup de mal à pister les auteurs. On comprend mieux pourquoi le ransomware est devenu, en quelque sorte, la « killer-app » de la cybercriminalité. Et ce n’est pas prêt d’être fini. Selon Avast, créer ou acheter un ransomware devient de plus en plus simple et pourrait transformer la vague actuelle en tsunami.
Des pirates de haut vol de plus en plus nombreux
En février dernier, Kaspersky révèle l’existence de Poseidon, un groupe de pirates qui cible les grandes entreprises – pétroliers, médias, électriciens, services, etc. – pour récupérer des informations stratégiques confidentielles, qui seront ensuite revendues sur le marché noir ou serviront comme moyen de racket. Le niveau technique de ces hackers est impressionnant. Ils ont réussi à rester tapis dans l’ombre pendant plus de dix ans. Et ils s’attaquent même aux communications satellite du domaine maritime.
Parallèlement, on assiste à une montée en force des cyberbraqueurs de banque. En février, Kaspersky a constaté le retour de Carbanak, des pirates qui ont volé plus d’un milliard de dollars dans une centaine de banques en 2015. Deux nouveaux groupes cherchent à les imiter : Metel et GCman. Et un autre larron est apparemment entré dans la danse. En mai, plusieurs banques ont été victimes de transferts de fonds frauduleux basés sur des virements Swift. La Banque Centrale du Bangladesh s’est ainsi fait dérober 81 millions de dollars, quand la banque équatorienne a vu disparaître 12 millions de dollars. Une partie des sommes a pu être pistée et récupérée sur des comptes bancaires de casinos basés aux Philippines. Autre détail croustillant : les méthodes techniques de ces cyberbraqueurs ressemblent étrangement à celles utilisées pour dévaster Sony Pictures en 2014. L’ombre de la Corée du nord plane sur cette affaire…
Des vols de données clients à gogo
L’année 2016 a également été celle des méga vols de données ou, plus exactement, de leur révélation. Car les vols, eux ont été perpétrés quelques années auparavant. A partir du mois de mai, des bases de données de plusieurs dizaines voire centaines de millions d’identifiants sont ainsi mis en vente dans le darkweb à la vue de tous pour quelques bitcoins: LinkedIn (117 millions), MySpace (360 millions), Tumblr (68 millions), Twitter (71 millions), VK (93 millions), Dropbox (68 millions), Fling (40 millions), iMesh (49 millions), etc. Au passage, les victimes découvrent deux choses : leurs mots de passe ne sont pas toujours stockés de manière sécurisée chez les fournisseurs de services, et ils sont vendus et revendus depuis des années sur le marché noir comme de la matière brute. Seule bonne nouvelle : l’un des pirates suspectés d’être impliqués dans le vol des identifiants LinkedIn a été arrêté à Prague en octobre dernier.
Le piratage des élections américaines
C’est certainement le piratage le plus politique de l’année 2016. Au premier semestre, en pleine campagne électorale américaine, le Comité national démocrate (Democratic National Committee, DNC) est la cible de deux groupes de hackers que les experts associent au gouvernement russe : APT28 alias Fancy Bear et APT29 alias Cozy Bear. Ils seraient pilotés respectivement par les services spéciaux russes (FSB) et le renseignement militaire russe (GRU). Suite à ces piratages, des dizaines de milliers d’emails confidentiels se sont retrouvés sur le web, notamment au travers de WikiLeaks. Ces révélations ont affaibli l’image du parti démocrate et de sa candidate, Hillary Clinton. Certains pensent même qu’elles ont été décisives dans la victoire de Donald Trump. Le président Barrack Obama, pour sa part, a accusé publiquement le Kremlin d’être à l’origine de ces piratages et a promis des représailles.
La NSA, cible des Shadow Brokers
En août, c’est le coup de théâtre. Un mystérieux groupe de hackers baptisé “The Shadow Brokers” publie sur le web une palette d’outils de piratage qu’ils auraient volé à la NSA. Les experts en sécurité sont assez rapidement convaincus de l’authenticité de ces outils dont l’efficacité repose sur plusieurs failles zero-day dans des équipements réseaux de grande marque (Cisco, Fortinet, Netscreen). Les hackers de Shadow Brokers disent posséder encore d’autres outils qu’ils sont prêts à vendre au plus offrant. Certes, cette fuite est une profonde humiliation pour l’agence de renseignement américaine. Mais les experts en sécurité estiment qu’il s’agit plutôt d’une mascarade. Certains pensent que derrière les Shadow Brokers se cache, une fois de plus, la main du Kremlin. Poutine aurait, en quelque sorte, lancé d’un avertissement pour décourager les Etats-Unis à mener contre lui des opérations de piratage informatique. C’est le retour de la guerre froide, version numérique.
Pegasus, logiciel d’espionnage pris en flagrant délit
Victime d’une tentative d’espionnage, le militant des droits de l’homme émirati Ahmed Mansoor reçoit un SMS piégé qu’il transfère immédiatement aux chercheurs en sécurité de CitizenLab et de Lookout. Ce qui leur permet de mettre la main sur Pegasus, un logiciel d’espionnage très sophistiqué créé par l’éditeur israélien NSO Group. C’est un énorme coup de bol, car normalement les maîtres-espions font tout pour que leur logiciel ne soit pas découvert. Son analyse révèle trois failles zero-day et une multitude de fonctionnalités : vol du carnet d’adresse et des mots de passe, interception des communications (texte, audio, vidéo, applis de messagerie), enregistrement sonore et vidéo à distance, etc. Du grand art qui fait froid dans le dos.
Les objets connectés passent à l’attaque
Fin septembre, l’hébergeur français OVH a été frappé d’une attaque par déni de service distribué, d’ampleur historique, avec un débit autour de 1 Tbit/s. Le blog du journaliste Brian Krebs également. A l’origine de cette attaque : un botnet baptisé Mirai qui infecte des dizaines voire des centaines de milliers d’objets connectés mal sécurisés, dont beaucoup de caméras de surveillance IP. Il a été développé par un certain « Anna-senpai » qui a eu l’idée diabolique de le diffuser gratuitement sur le web auprès de ses congénères. Résultat : Mirai devient de plus en plus gros et faits des petits. A tel point qu’il met à genoux une partie du web américain en octobre, bloquant l’accès à de nombreux sites comme Netflix, Spotify, Airbnb, Twitter ou Paypal. Fin novembre, c’est rebelote. Une variante de Mirai a infecté les routeurs-modems des opérateurs télécoms dans le monde entier. En Allemagne, l’épidémie n’est pas passé inaperçue : près d’un million de foyers a été privé d’Internet pendant plusieurs jours.
Des vols de données clients à gogo (suite)
Les révélations sur les méga vols de données ne s’arrêtent pas après l’été. En septembre, le vol de 43 millions d’identifiants du service musical Last.fm est dévoilé. Il date de 2012 et les mots de passe étaient stockés de manière peu sécurisée. En novembre, on apprend que les bases de données de Friend Finder Network ont été piratées, avec à la clé plus de 400 millions d’identifiants dans la nature. Le groupe gère des sites pour adultes tels que AdultFriendFinder.com, Cams.com, iCams.com, Penthouse.com ou Stripshow.com. Cette fois-ci, le piratage était très récent, vu qu’il a été réalisé le mois précédent. Les mots de passe étaient stockés en clair ou chiffrés avec un algorithme de faible sécurité. Au final, les pirates pouvaient les récupérer à 99 %. En décembre, c’est au tour de Dailymotion d’être épinglé avec 87 millions de comptes piratés. Heureusement pour les utilisateurs, la plupart des mots de passe étaient bien protégés grâce à un algorithme de chiffrement de qualité (bcrypt).
Le fiasco à répétition de Yahoo
C’est de loin le plus gros piratage de l’histoire informatique : plus d’un milliard d’identifiants volés ! L’affaire commence de façon nébuleuse au mois d’août, lorsqu’un pirate met en vente dans le Darkweb plus 200 millions d’identifiants. En septembre, Yahoo confirme le vol de 500 millions de comptes utilisateurs, suite à un piratage de 2014. Les utilisateurs sont passablement choqués, d’autant plus qu’ils ont l’impression que Yahoo a tardé à les informer afin de finaliser son rachat par Verizon. Puis en décembre, c’est le coup de grâce : Yahoo annonce le vol de plus d’un milliard de comptes clients résultant, cette fois-ci, d’un piratage de 2013. Et ce n’est pas tout : les pirates ont également subtilisé du code source sur les serveurs de Yahoo pour fabriquer de faux cookies d’authentification. Ainsi, ils pouvaient rentrer dans n’importe quel compte, sans même connaitre le mot de passe. Bref, le portail est complètement troué. Le conseil : fermez définitivement votre compte Yahoo.
Des backdoors chinoises dans les smartphones Android
En novembre, en analysant le smartphone d’un collègue, les chercheurs en sécurité de Kryptowire mettent la main sur Adups FOTA, un logiciel d’origine chinoise qui est installé au niveau du firmware et qui est censé faciliter aux fabricants le processus de mise à jour. Mais pas seulement. Il récupère également tous les SMS de l’utilisateur et permet d’exécuter n’importe quel code à distance. Un vrai petit mouchard. Kryptowire a trouvé cette backdoor sur les téléphones du fournisseur américain Blu. Mais les chercheurs de Trustlook expliquent avoir identifié les smartphones de 43 fabricants différents utilisant Adups FOTA, dont Archos, ZTE et Lenovo.
De son côté, la société Adups cherche à limiter les dégâts en assurant que la dernière version de son logiciel n’était plus aussi intrusive, ce qui n’est pas très convaincant. D’autres portes dérobées sont découvertes en parallèle. Toujours en novembre, les chercheurs d’Anubis Networks épingle un logiciel de la firme chinoise Ragentek, également installé dans le firmware. Son implémentation se révèle bancale et extrêmement vulnérable aux attaques Man-in-the-middle. Et en décembre, l’éditeur russe Dr.Web trouve deux autres backdoors, franchement malveillantes, focalisées sur la fraude au clic. Parmi les 28 modèles infectés figurent deux modèles de Lenovo. C’est un vrai festival.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.