Uber se prend un cyber-nid de poule
L’année 2015 commence en douceur, avec le piratage de la base de données d’Uber. En février, l’entreprise annonce que les données de 50.000 conducteurs de VTC ont été volées. En réalité, le hack s’est déroulé en 2014, mais il a fallu neuf mois pour confirmer cette intrusion. Uber se veut rassurant et explique que cela ne représente « qu’un petit pourcentage » de l’ensemble des conducteurs. Un mois plus tard, le site Motherboard révèle la vente dans le Dark Net d’identifiants d’utilisateurs Uber. Là encore, la firme se veut apaisant : son infrastructure ne serait pas en cause, c’est la faute aux utilisateurs dont les mots de passe ne sont pas bons. Ben voyons.
Ecran noir sur TV 5 Monde
Des sites défacés, une diffusion en carafe pendant plusieurs heures, des ministres sur le pied de guerre… En avril 2015, le sabotage informatique de TV 5 Monde marque tous les esprits. Les pirates se sont réclamés de Daesh, mais l’enquête – menée avec l’aide de l’ANSSI – a finalement pointé vers « APT28 », un groupe de pirates russes de haut vol, connus pour des actions de cyberespionnage politique et économique en Europe. « C’est avéré, par le mode opératoire utilisé, que le but était de nous détruire », a estimé Yves Bigot, le DG de TV 5 Monde.
Pour éviter que cela ne se reproduise, la chaîne va investir 10 millions d’euros dans la cybersécurité ces prochaines années. Entre temps, les pirates d’APT 28 se sont jetés sur une autre victime, le Parlement allemand (Bundestag) qui va devoir renouveler en grandes parties son réseau informatique totalement vérolé.
Attention, il y a un hacker dans l’avion
En mai 2015, Chris Roberts agite le secteur aéronautique. Dans un compte rendu du FBI, ce hacker explique avoir réussi, en tant que simple passager, à pirater quinze à vingt fois des avions en plein vol, entre 2011 et 2014. Dans certains cas, il aurait même réussi à modifier la trajectoire de l’avion. Pour y arriver, il se serait connecté depuis son siège au réseau de divertissement pour ensuite s’introduire dans le réseau qui gère le pilotage de l’appareil. Certains ont pris Chris Roberts pour un mythomane. Pourtant, les rapports qui pointent sur le manque de sécurité informatique dans l’aéronautique sont fréquents. Le GAO, l’équivalent de la Cour des comptes des Etats-Unis, en avait publié un quelques semaines auparavant.
Hacking Team, l’arroseur arrosé
Régulièrement épinglé par Reporters sans frontières, le fournisseur d’outils de cybersurveillance et de piratage Hacking Team est finalement victime de son propre jeu : il se fait complètement hacker en juillet. Des comptes Twitter sont détournés, des fichiers confidentiels sont dérobés, plus de 400 Go de données sont publiés sur le web, puis archivés par Wikileaks. La honte totale. On découvre au passage quelques clients de cette entreprise italienne : Arabie Saoudite, Singapour, Soudan… Des pays où les droits de l’Homme ne sont pas vraiment une priorité.
Jeep et Tesla, carton plein
Activer les essuies-glace, monter le volume radio, actionner les freins, tourner le volant, couper le moteur… En août 2015, Charlie Miller et Chris Valasek montrent qu’il est possible de prendre le contrôle à distance d’une Jeep Cheerokee, par une simple liaison 3G/4G. Leur vidéo fait le tour du web, Jeep est contraint de rappeler plus de 1,4 million de véhicules pour déployer un correctif. Certes, le hack est complexe et pas accessible au premier venu. Mais il montre bien le risque des voitures connectées. Au passage, il a permis à MM. Miller et Valasek de trouver un nouvel employeur : Uber (lire plus haut).
Durant le même mois, les hackers Marc Rogers et Kevin Mahaffey ont également pris en ligne de mire la voiture connectée, et pas n’importe laquelle : une Tesla Model S. Ils l’analysent de fond en comble et réussissent à installer une porte dérobée dans son firmware. Mais ils n’ont pas trouvé de nouveau job après.
Ashley Madison, hommes gogos et femmes fantômes
En août 2015, c’est Game Over pour Ashley Madison. Des pirates qui se nomment « Impact Team » ont siphonné les bases de données de ce site de rencontres spécialisé dans l’adultère et ont « dumpé » des dizaines des Go de données (très) personnelles sur le Net. Quelques semaines plus tard, le PDG prend la porte et les utilisateurs du service une bonne leçon. Car l’analyse des données publiées révèle que face aux 20 millions d’hommes inscrits et actifs, il n’y avait que… 1492 femmes. Le réseau est une arnaque et comptaient des milliers de comptes féminins fantôme.
VTech et Hello Kitty offrent vos enfants aux pirates
Fin novembre, c’est la panique dans les chaumières. Un pirate siphonne les serveurs de VTech, fabricant chinois de jouets connectés. Au total, plus 6,5 millions de comptes d’enfants sont hackés, dont plus d’un million en France. Parmi les données figurent des noms et des mots de passe, mais aussi des photos d’enfants et des conversations intimes. Pour les parents, c’est l’horreur. UFC-Que Choisir, pour sa part, décide de porter plainte contre cette entreprise qui n’a visiblement pas assez bien sécurisé son infrastructure. Quelques semaines plus tard, c’est rebelote. Un autre hacker détecte une base de données en accès libre sur le web. Elle appartient à Hello Kitty, célèbre marque japonaise pour enfants. Plus de 3 millions de comptes sont exposés. Tout ça, ce n’est pas très sérieux.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.