Soutenu par l'Iran, un collectif de pirates a mis au point un utilitaire capable de siphonner les boîtes de réception de Gmail, Yahoo et Outlook. Pour l'instant, il n'est utilisé qu'en Iran contre des personnalités mais son fonctionnement est redoutable.

au sommaire

    Après la Chine, la Russie ou Israël, il va falloir se méfier de l'État iranien. C'est ce qu'annonce GoogleGoogle qui a découvert que des hackers, soutenus par l’Iran, avaient créé un malware capable de siphonner les messageries des internautes. Dans son dernier rapport, Threat Analysis Group (TAG), Google explique ainsi avoir mis la main sur cet outil pour en déterminer la dangerosité, et il est capable de récupérer les e-mails de Gmail, Yahoo et Outlook.

    Son nom ? Hyperscrape. Utilitaire d'extraction de données, il aurait été conçu en 2020 par le collectif Charming Kitten, soutenu par le gouvernement iranien. Ses cibles ? Des personnalités haut placées. « Nous l'avons vu déployé contre deux douzaines de comptes situées en Iran, écrit Google dans son rapport. Le plus ancien échantillon connu date de 2020 et l'outil est toujours en cours de développement actif. Nous avons pris des mesures pour sécuriser à nouveau ces comptes et avons informé les victimes par le biais de nos avertissements à propos de ces pirates soutenus par le gouvernement ».

    L'utilitaire des hackers permet simplement de choisir quel type de compte à pirater. © Google
    L'utilitaire des hackers permet simplement de choisir quel type de compte à pirater. © Google

    La protection de Google piégée

    Le plus inquiétant est que les pirates n'ont pas besoin d'installer un malware sur le PC visé. En fait, ils ont juste besoin des informations d'identification de leurs comptes ou d'un cookie extrait du navigateur de la victime. D'abord, l'outil va créer un dossier Téléchargement sur le disque durdisque dur pour y stocker tous les e-mails.

    Ensuite, l'outil piège la protection de Google en se faisant passer pour un navigateur obsolète. Cela force l'affichage en HTMLHTML de base dans Gmail. Une fois connecté, l'outil modifie les paramètres de langue du compte en anglais et parcourt le contenu de la boîte aux lettres, téléchargeant individuellement les messages sous forme de fichiers .eml.

    La victime ne s'aperçoit de rien

    Une fois que le programme a terminé de télécharger la boîte de réceptionréception, il rétablit la langue à ses paramètres d'origine et supprime tous les e-mails de sécurité de Google. Il remet les courriels en « non lus » le cas échéant. Résultat, la victime ne s'est même pas aperçue que l'on avait siphonné sa correspondance puisqu'elle n'a reçu aucun avertissement d'un accès à son compte, comme c'est le cas lorsque l'on se connecte depuis un autre ordinateurordinateur ou un mobilemobile.

    La bonne nouvelle, ou plutôt le moindre mal, c'est que la dernière version en date du malware n'est plus compatible avec Google TakeOut. Cette fonction permet à n'importe quel possesseur d'un compte Google de créer une archive avec tous ses e-mails, ses photos, ses vidéos, son calendrier... Initialement, Hyperscrape était capable de récupérer les cookies et le nom du compte, nécessaires pour accomplir l'archivagearchivage.