Dans un rapport, Hold Security lâche une véritable bombe : des pirates russes auraient dérobé 1,2 milliard de mots de passe provenant de 420 000 sites différents. La technique utilisée est intéressante, tout comme la communication qui en découle.
Quand un botnet recherche des failles de type injection SQL
Hold Security est une société de gestion et de prévention des risques dans le monde de l'informatique. Elle s'est déjà illustrée l'année dernière en révélant l'attaque dont avait été victime Adobe par exemple. Forte de son expertise dans ce domaine, la société annonce avoir identifié un groupe de pirates russes qui serait en possession de la plus grande quantité de données jamais volées. Il est ainsi question de 1,2 milliard de mots de passe couplés avec plus de 500 millions d'adresses e-mails, des données qui auraient été dérobées sur pas moins de 420 000 sites différents.
Pour arriver à leurs fins, Hold Security précise que les pirates ont utilisé une approche originale. Via un réseau de botnet, ils ont visité de très nombreux sites en vérifiant si une attaque par injection SQL était possible. Si c'était le cas, alors une seconde étape était enclenchée afin de récupérer des données confidentielles. Au fil du temps, des centaines de milliers de sites auraient ainsi été touchés, des grands comme des petits. Nos confrères du New York Times qui révèlent l'information indiquent que Hold Security ne dévoile pas le nom des victimes à cause d'un accord de non-divulgation, mais aussi car certains sites sont toujours vulnérables.
Se pose néanmoins la question de la véracité de l'information. Le New York Times indique avoir demandé à un expert en sécurité, non affilié à Hold Security évidemment, de se pencher sur les données dérobées. Sa conclusion serait sans appel : elles seraient bien authentiques. Après, que cela soit ou non le cas, la méthode reste intéressante.
1,2 milliard de MdP auraient été dérobés : une annonce « anxiogène pour le grand public »
Interrogé par nos confrères de l'AFP, Loïc Guezo, directeur stratégie de la société de sécurité informatique Trend Micro pour l'Europe du sud, tempère quelque peu cette information. En effet, il reconnaît volontiers que « c'est une attaque relativement simple mais intéressante par sa largeur et sa méthode structurée, qui a utilisé des ordinateurs infectés pour tester la vulnérabilité de sites internet. C'est assez peu courant, la technique est fine ». Mais précise tout de même qu'il « y a certainement beaucoup de déchets dans ce qu'ils [NDLR : les pirates] ont récupéré et ils vont se concentrer sur les mots de passe actifs ». Pour quoi faire ? Les utiliser afin de mettre en place du phishing en exploitant toutes les données récoltées, ou bien les revendre au marché noir.
Toujours dans les colonnes de nos confrères de l'AFP, Gérôme Billois, expert de chez Solucom (un autre cabinet spécialisé dans la sécurité) explique que « ce type d'annonce a un côté anxiogène pour le grand public, qui ne sait pas qui a été ciblé et s'il doit changer tous ses mots de passe, ce qui de toute façon ne sert à rien si les sites internet n'ont pas corrigé leurs vulnérabilités ». On se retrouve donc exactement dans la même situation qu'avec Heartbleed. Que la situation soit confirmée ou pas, cette précaution est de toute façon toujours valable, le problème étant souvent la communication et la transparence en cas de vols de données. En France par exemple, seuls les opérateurs et FAI sont obligés d'informer leurs clients, pas les autres sociétés.
Quoi qu'il en soit, les deux experts en sécurité s'accordent sur un point : « l'approche commerciale » de Hold Security qui consacre une part non négligeable de sa communication à la mise en avant de ses services de protection. Néanmoins, rien ne dit que Trend Micro et/ou Solucom auraient fait de même s'ils avaient découvert un piratage de cette ampleur.
Commentaires (92)
#1
Ha oui quand même! avec un peu de chance ils vont mettre en place un site pour voir si on a été touché.
#2
c’est fait ici :https://identity.holdsecurity.com/
#3
#4
#5
#6
J’ai entendu ça à la radio ce matin, et vraiment difficile d’avoir des infos la dessus…. Plus ça va plus ça ressemble à du gros fake…
#7
#8
C’est un pn de fake cette histoire, allez voir la gueule du site de Hold Security http://www.holdsecurity.com) l’agence qui a trouvé le leak.
Vous verrez que c’est digne d’un mail de spam en provenance d’un pays du tiers monde.
#9
Forte de son expertise dans ce domaine, la société annonce avoir identifié un groupe de pirates russes qui serait en possession de la plus grande quantité de données jamais volées.
Mais ils entendent quoi par “identifié” ?
#10
#11
Ca pu le fake à 100 km, et ce qui me choc encore plus c’est tout ces sites web qui reprennent l’info en boucle :
" />official&client=firefox-a&channel=sb&gfe_rd=cr&ei=akviU8aUC-vQ8gez9IHYDA#channel=sb&q=1%2C2+milliard+de+mots+de+passe&rls=org.mozilla
" />official
" />)
https://www.google.fr/search?q=pirate+russe&ie=utf-8&oe=utf-8&aq=t&a…
Le pire c’est les sites qui mettent un lien vers la page qui vous demande l’email et le mot de passe. ( oui… l’email ET le mot de passe…..
#12
#13
#14
#15
#16
#17
#18
#19
Des pirates russes…
Pourquoi ajouter “pirates” avant “russes” ? C’est redondant tout ça.
#20
Y’a même pas de mentions légales sur le site ?
#21
#22
NextInpact, s’il vous plaît, faites une màj pour annoncer que c’est un fake là c’est assez énorme pour éviter de tergiverser.
Les sites “d’information” reprennent la news tous en coeur, il faudrait commencer à briser le cercle vicieux.
Des pros comme vous, on ne doute pas que vous initierez le cercle vertueux :) .
#23
#24
#25
#26
Sachant qu’il y a a peine de fois plus d’internautes dans le monde que le soit disant nombre de comptes volés, que le site “hold security” ne renseigne en rien de l’entreprise qu’il y a derrière et que la page facebook date de début juillet, ouais… on peut mettre à jour l’actu et crier au fake.
#27
#28
#29
ptdr le site.. tu mets ton adresse mail et ton pass… non mais sérieux le faites pas quoi ..
#30
#31
#32
http://www.iledemploi.com/
" />
et
http://www.holdsecurity.com/about/
Je crois qu’il en faut pas plus
#33
#34
#35
#36
Boite de securite info avec son front sous wordpress et l’acces a l’admin non protege
" /> 
" />
http://www.holdsecurity.com/wp-admin
Avec les erreurs de logins wordpress non desactivees
#37
#38
http://www.iledemploi.com/
et
http://www.holdsecurity.com/about/
Alors là Lyron,
#39
#40
#41
Gros LOL
" />
Une recherche à partir de l’image (de la page “About…”) dans Google image donne ça :
Résultat de la recherche
Et on retrouve notre photo sur d’autres fiches d’entreprises :
http://www.amatransinc.com/
http://www.pciusa.com/#!who_we_are/c1n8o
http://www.bswmedia.com/#!copy-of-solutions/cyjn
…
Ca sent l’image vendu au mètre et rend du coup peu sérieux/crédible le site de la dite société de sécurité.
#42
Et un beau theme wordpress gratuit :
" />
https://wordpress.org/themes/fashionistas
#43
#44
Ils s’amusent bien les pirates russes on dirait
" />
#45
Probablement la source de la dite image (cf. post du dessus) :
ici
Une grande société spécialisée dans la sécurité (et devant donc brasser un CA en conséquence) élaborant un site en se fournissant en “images au mètre” sur un site comme celui cité au-dessus [“Antony Burton Photography” avec peu de références … et faisant un peu artisanal]… comment dire ?
J’émets quelques doutes !
#46
#47
Le nombre de mail et passe jetable dans le lots doit-être de 99,9%.
" />
#48
#49
#50
Le monde propage l’info sur son site:
" />
dans les réactions des lecteurs, il y en a qui soulèvent l’idée du hoax.
Le monde cite l’info venant du new york times.
http://www.nytimes.com/2014/08/06/technology/russian-gang-said-to-amass-more-tha…
je suis allé voir sur le site et j’ai parcouru le fil de réactions des lecteurs qui ne voient pas de hoax et qui sont prets à attaquer la Russie, à accuser la NSA ou a faire retraite dans une cabane au fond des bois après avoir brûlé leur iphone. Seul un lecteur espagnol donne une info plutôt censée (Jose Jimenez Spain) en commençant par dire qu’il est IT depuis 30 ans et qu’à son avis c’est bizzare une compagnie qui vous demande votre mot de passe pour verifier si vous avez pu être hacké)
Moralité: Les américains du NYT sont plus des buses que ceux du Monde
#51
Ah bah oui ça c’est bizarre : une société qui vous demande votre (un de vos) mot de passe pour soit disant vérifier !
" />
" />
" />
Cela ne sent pas un peu le phishing non ?
Enfin bref : la méthode de soit disant vérification est tellement grosse qu’en l’état, cela ne rend pas cette société du tout crédible.
Vous imaginez recevoir un message du genre :
—
Votre CB a peut-être été piratée. Veuillez-vous rendre sur notre formulaire et saisir votre numéro de CB afin que nous puissions vérifier si elle a effectivement été piratée…
—
Nan mais sérieux !
#52
[mode parano]
Qui aurait intérêt à lancer des rumeurs à la con avec des sites douteux pour décrédibiliser la sécurité informatique en général et affoler la Michu ? [/mode parano]
#53
#54
Il parait que NextINpact est dans la liste des sites vulnérables
" />
" />
C’est cool de voir des commentaires constructifs pour se rendre compte que ça pue le fake. Et tant de gros sites qui relaient la news… La BDD de chez “HoldSecurity” va bien se remplir…
#55
#56
#57
En cherchant un peu, il semble que Hold Security existe vraiment.
Leur site n’est peut-être pas au top, mais les personnes qui sont aux commandes sont bien connues.
#58
The Verge se pose aussi la question :http://www.theverge.com/2014/8/6/5973729/the-problem-with-the-new-york-times-big…
#59
#60
#61
Fake ou pas (enfin surtout si c’est un fake), je demande des sanctions économiques contre la Russie !
" />)
(c’est à la mode paraît-il
#62
Vous oubliez le Whois les gars !
" />
http://whois.domaintools.com/holdsecurity.com
DomainByProxy, un machin écran pour se cacher.. Super crédible les zenfants
#63
#64
#65
#66
#67
#68
La société Old Security (une filiale de Hold Security) a apparemment aussi la preuve que la sécurité de 987 654 321 cartes bancaires et de crédit ont été corrompues.
Le Washington Post confirme cette attaque venant cette fois ci de hackers chinois sur son site.
Old Security mettra demain à disposition un procédure professionnelle de vérification à cette adresse:
Old Security ASBL
2467, 465c
UDI HILLS Street
Maitama - Abuja
Nigéria
Prière de joindre avec la carte, vos coordonnées complètes, le mot de passe, un double de la signature et l’ affranchissement en timbres suffisant pour le renvoi de la carte à l’ adresse de votre choix (2 adresses maximum).
La vérification est entièrement gratuite pour 2 cartes bancaires
Un abonnement Premium pour un nombre illimité de vérifications sera bientôt disponible ainsi que les services VIP associés tel que la prise et remise de cartes en main propre par nos commerciaux (uniquement valable pour les cartes de crédit Gold, Platine, Black ou émises par des banques privées d’ affaire).
Un formulaire spécial sera bientôt disponible pour indiquer vos horaires, adresse, mode de vie dans le respect des lois régissant la vie privée afin d’ affiner au mieux ce service à domicile dans la plus parfaite discrétion.
#69
#70
Pour arriver à sa fin, Hold Security précise que les pirates ont utilisé une approche originale. Via un réseau de botnet, ils ont visité de très nombreux sites en vérifiant si une attaque par injection SQL était possible.
je faisais ça quand j’étais au collège… pas très original…
#71
Ils ont piraté la NSA ?
#72
qui a utilisé des ordinateurs infectés
Des ordinateurs. On peut avoir plus de détails ?
#73
Message aux pirates. Si vous avez les mots de passe github, y a des logiciels qui n’attendent qu’à être patchés
" />. D’avance merci
#74
SVP NXi vous êtes en train de devenir un site de reposte d’info plus que douteuse ou avec des titres digne d’un le parisien pour attirer la michu.
Des articles de qualités ainsi qu’approfondi serait vraiment pas du luxe
#75
#76
#77
Tu veux savoir si tu t’es fait pirater ton compte Facebook ?
Tapes ton adresse et ton mot de passe suivit de 8 12 12 …
#78
#79
Voilà pourquoi il faut toujours avoir un mot de passe unique pour chaque site. Beaucoup utilisent le même mot de passe pour l’ensemble des services qu’ils utilisent.
#80
#81
#82
#83
#84
Ce qui choque plutôt c’est pas que le site est fait en Wordpress, c’est qu’il est chez Wix
" />
#85
Moi aussi je sais faire …
" /> 
" />
https://www.google.fr/#q=filetype:sql+login+password
#86
On notera juste que clubic a mis à jour ça news,
" />
http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/pira…
Au moins pour prévenir de ne pas donner ces mots de passes
Une petite piqûre de rappel pour ne jamais le donné, ni par mail, ni par tel, ni par formulaire, ni par autre part, ne fait jamais de mal
#87
Aucune preuve que des annonces ?
Lulz.
#88
Si vous leur donnez tous vos mots et passes et 120$, ils vous diront si votre sécurité a été compromise. C’est une super bonne affaire, ça sera pas des pirates russes qui vont vous voler.
#89
Le genre de news a faire douter de l’utilité de renouveler son abonnement Next inpact… Si cest pour lire la même chose que des journaux généralistes sans rien modifier ou vérifier je ne vois pas l’intérêt. Deja que je n’approuve pas trop mes changements dans la ligne éditoriale de ces dernières années…
Bref merci aux commentaires
#90
#91
#92
Une chose est sûre, c’est un fake et gare à ceux qui se feront avoir par leur soi-disant site de vérification ! Quoi qu’il en soit, utilisez des password manager comme Lastpass pour vous mettre à couvert
" />