L’équipe X-Force d’IBM a obtenu plus de 40 gigaoctets de données du groupe de hackers iranien ITG18. Une erreur de configuration de leur serveur privé a exposé notamment des vidéos d’entraînement qui montrent leurs techniques pour compromettre des comptes Gmail et Yahoo.

au sommaire

    Même les pirates informatiques négligent parfois leur sécurité. À cause d'un serveur mal configuré, l'équipe de cybersécurité X-Force d'IBMIBM a pu obtenir plus de cinq heures de vidéos du groupe de hackers ITG18, aussi appelé APT35 ou Charming Kitten et lié au gouvernement iranien. En tout, les chercheurs ont téléchargé plus de 40 gigaoctets de données, comprenant des vidéos d'entraînement mais aussi des informations dérobées à des comptes piratés dont ceux de personnel militaire américain et grec.

    Il s'agit de la première fois que les chercheurs parviennent à voir le mode opératoire d'un tel groupe, plutôt que d'essayer de le déduire à partir des traces laissées. Dans ces vidéos, destinées à former de nouvelles recrues, des hackers montrent comment pirater un compte Gmail et un compte Yahoo qu'ils avaient créé. En trois ou quatre minutes, l'ensemble des messages a été transféré grâce au serveur de messageriemessagerie Zimbra, ainsi que les contacts et les photos du compte, et toute trace d'intrusion supprimée.

    Les pirates bloqués par l’authentification à double facteur

    Les vidéos n'apportent pas de grande révélation du côté technique, car ce genre d'attaque est bien connu. Ce qui a intéressé les chercheurs est de voir comment les pirates s'organisent, et surtout la vitessevitesse avec laquelle ils parviennent à extraire les informations. Les vidéos montrent aussi de vraies attaques contre des victimes, en tentant de s'introduire dans des comptes un par un, en partant d'un fichier texte contenant des identifiants volés.

    Cet aperçu du fonctionnement des hackers permet également d'apprendre que l'authentification à deux facteursauthentification à deux facteurs aide à se prémunir contre ces attaques. Dans les vidéos, lorsqu'ils tombent sur un compte ainsi sécurisé, les pirates passent simplement au suivant. Cette protection, qui demande par exemple un code reçu par SMS en plus du mot de passe, n'est cependant pas toujours infaillible. Les chercheurs conseillent en plus de changer régulièrement ses mots de passe, d'utiliser un gestionnaire de mots de passe pour générer des codes plus complexes, et de bloquer tout accès depuis des applicationsapplications tierces.