Passer au contenu

Des pirates-justiciers s’attaquent aux vendeurs de… logiciels espions

Serveurs piratés, données volées et publiées en ligne… Des hackers expliquent comment ils ont réussi à pénétrer le réseau interne de FlexiSpy, un éditeur de logiciels espions pour particuliers.  

Assez peu connus du grand public, les logiciels espions pour particuliers font un tabac chez les paranos. Ils sont utilisés par des conjoints jaloux, des parents protecteurs, des voisins envieux voire des chefs d’entreprise suspicieux. Ils permettent d’intercepter des messages, de géolocaliser des smartphones, de siphonner des carnets d’adresse, de lire des emails, d’enregistrer des conversations et même de filmer les utilisateurs. Et tout cela pour seulement quelques centaines d’euros par an.

Mais ce business n’est pas l’affaire de tout le monde. Des pirates-justiciers ont décidé de prendre en ligne de mire ce secteur jugé nauséabond, en prenant exemple sur Phineas Fisher, ce pirate qui a plumé la société Hacking Team en 2016. Deux sociétés du secteur, Retina-X et FlexiSpy, sont leurs premières victimes. Ils ont réussi à pénétrer leurs systèmes, à subtiliser tout un tas de données sensibles et à saboter leurs infrastructures. Plus de 130.000 utilisateurs sont concernés au total, d’après Motherboard, qui a reçu une partie des données volées.

Des serveurs peu sécurisés

Ces piratages ne semblent pas avoir été très compliqués. Ceux qui se sont attaqués à Flexispy – et qui se font appeler « Leopard Boy and the Decepticons »  – viennent de mettre en ligne un compte rendu de leur exploit sur PasteBin. Les pirates ont d’abord pu identifier un serveur web d’administration pour les utilisateurs sur lequel ils ont pu se loguer avec les identifiants « test/test ». Ce qui leur a permis de siphonner méthodiquement toute la base d’abonnés. Dans un second temps, Leopard Boy et les Decepticons ont détecté un serveur CRM sur lequel ils ont réussi à se loguer en tant qu’administrateur grâce à un mot de passe (« tcpip123 ») qu’ils ont trouvé en décompilant un binaire Java disponible en ligne sur un autre serveur. Pratique. Dès lors, il leur a suffit de bidouiller quelques modules logiciels installés sur la machine pour, enfin, pouvoir y installer leur propre porte dérobée (shell) et en prendre le contrôle total.

Pastebin

A partir de là, les pirates ont pu scanner le réseau interne de FlexiSpy et compromettre d’autres machines, dont trois serveurs de stockage NAS et un serveur SharePoint. Ce qui leur a donné accès à tout un tas d’informations: codes source, diagrammes réseaux, documents RH, backups de mots de passe, etc. Avant de mettre les voiles, ils expliquent avoir effacé les disques de tous les serveurs compromis. Ils auraient même effacé les serveurs virtuels dont la société disposait dans les clouds d’Amazon et de Rackspace. Une stratégie de la terre brûlée.

Codes source disponibles en ligne

Les codes source de FlexiSpy sont désormais disponibles en ligne sur GitHub. Certains chercheurs en sécurité, comme Ben Actis, ont commencé à analyser ce code, notamment pour en extraire des empreintes permettant aux éditeurs d’antivirus de détecter désormais ces logiciels d’espionnage. D’autres piratages de ce type sont à prévoir. « Si vous êtes un fournisseur de logiciels d’espionnage domestique, nous allons venir vous voir. Arrêtez, repensez votre vie, liquidez votre société et soyez une meilleure personne. Sinon, vous allez nous voir très prochainement », peut-on lire à la fin du document Pastebin. Pour sa part, FlexiSpy n’a donné aucune confirmation de cette attaque. L’entreprise continue d’alimenter son compte Twitter comme si de rien n’était.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN