Une entreprise spécialisée dans la sécurité, Hold Security, fait souffler un vent de panique en annonçant la découverte d’un vol planétaire d’identifiants et de mots de passe. L’attaque est plutôt originale, basée sur des botnets qui testent la vulnérabilité des sites, et a été vérifiée par deux experts indépendants. Mais les risques sont peut-être exagérés.

au sommaire


    Venus de Russie, des pirates auraient amassé des données personnelles glanées dans plus de 400.000 sites. © ecstaticist / Flickr - Licence Creative Common (by-nc-sa 2.0)

    Venus de Russie, des pirates auraient amassé des données personnelles glanées dans plus de 400.000 sites. © ecstaticist / Flickr - Licence Creative Common (by-nc-sa 2.0)

    Vous ne connaissiez pas Hold Security, une entreprise installée à Milwaukee, dans le Wisconsin, aux États-Unis ? Grâce à sa découverte retentissante, sa célébrité est acquise. Après plusieurs mois d'enquête, la société spécialisée en sécurité informatique - qui avait déjà révélé une attaque subie par Adobe - affirme que 1,2 milliard de mots de passe, avec les noms (en fait plus de 4 milliards mais la plupart utilisés plusieurs fois), associés à plus de 500 millions d'adresses électroniques, ont été volés dans 420.00 sites Web par un petit groupe de pirates installé en Russie. Dans un article publié par le New York Times, le président de Hold Security, Alex Holden, affirme que les sites piratés sont très variés, de ceux de grandes sociétés jusqu'à des sites personnels. Selon lui, le groupe opère depuis 2011, s'appuyant sur une méthode classique mais avec un professionnalisme rare. L'entreprise l'a baptisé CyberVor, parce que Vor signifie « voleur » en russe.

    Dans un premier temps, cette équipe aurait acheté des adresses au marché noir pour créer des botnets, réseaux d’ordinateurs-zombies dans lesquels des logiciels discrets se mettent au travail, et se serait associée à d'autres groupes. En l'occurrence, il s'agissait de tester systématiquement tous les sites auxquels se connectaient les utilisateurs de ces ordinateurs, pour y repérer des failles connues permettant une attaque de type injection SQL (ces trois lettres désignant un système de requêterequête pour fouiller dans les données). Le cas échéant, ces sites mal protégés étaient pillés par les membres du groupe, qui ont donc dû beaucoup travailler.

    Les informations recueillies pourraient permettre de retrouver l'historique des connexions Internet d'un utilisateur dont les identifiants et les mots de passe seraient connus, y compris les achats sur le Web. © Jean-Luc Goudet/Futura-Sciences

    Les informations recueillies pourraient permettre de retrouver l'historique des connexions Internet d'un utilisateur dont les identifiants et les mots de passe seraient connus, y compris les achats sur le Web. © Jean-Luc Goudet/Futura-Sciences

    Le risque de ce piratage est mal évalué

    Deux experts en sécurité, mandatés par le New York Times et indépendants de l'entreprise, ont pu consulter la liste des mots de passe volés et affirment qu'elle est authentique. Reste que l'ampleur de l'attaque est difficile à évaluer. Hold Security ne donne pas le nom des sites visités et ne fournit que peu de détails sur l'opération, notamment sur le nombre d'identifiants réellement obtenus par la faille SQLSQL (alors que les premiers avaient déjà été récupérés auparavant), comme le souligne le site The Verge.

    À quoi servira ce trésor ? Il sera vendu, affirme Hold Security, et servira à envoyer des spams ciblés, les ordinateurs personnels constituant la cible principale, selon l'entreprise. Cependant, Alex Holden confie au New York Times que CyberVor semble pour l'instant se contenter « d'envoyer des spamsspams sur les réseaux sociauxréseaux sociaux pour le compte d'autres groupes ».

    Hold Security en fait peut-être un peu trop et ne cache pas sa démarche commerciale. Dans son communiqué, violemment titré « Vous avez été piraté », l'entreprise termine son explication par la proposition d'un abonnement à 120 dollars par an (90 euros) pour vérifier si un compte a été visité par les pirates russes. Quoi qu'il en soit, malgré le nombre de mots de passe volés, l'opération semble moins grave que le piratage de 2,9 millions de comptes chez Adobe, qui avaient permis aux voleurs de s'emparer aussi de numéros de cartes de crédit.