Dans un rapport, Hold Security lâche une véritable bombe : des pirates russes auraient dérobé 1,2 milliard de mots de passe provenant de 420 000 sites différents. La technique utilisée est intéressante, tout comme la communication qui en découle.
Quand un botnet recherche des failles de type injection SQL
Hold Security est une société de gestion et de prévention des risques dans le monde de l'informatique. Elle s'est déjà illustrée l'année dernière en révélant l'attaque dont avait été victime Adobe par exemple. Forte de son expertise dans ce domaine, la société annonce avoir identifié un groupe de pirates russes qui serait en possession de la plus grande quantité de données jamais volées. Il est ainsi question de 1,2 milliard de mots de passe couplés avec plus de 500 millions d'adresses e-mails, des données qui auraient été dérobées sur pas moins de 420 000 sites différents.
Pour arriver à leurs fins, Hold Security précise que les pirates ont utilisé une approche originale. Via un réseau de botnet, ils ont visité de très nombreux sites en vérifiant si une attaque par injection SQL était possible. Si c'était le cas, alors une seconde étape était enclenchée afin de récupérer des données confidentielles. Au fil du temps, des centaines de milliers de sites auraient ainsi été touchés, des grands comme des petits. Nos confrères du New York Times qui révèlent l'information indiquent que Hold Security ne dévoile pas le nom des victimes à cause d'un accord de non-divulgation, mais aussi car certains sites sont toujours vulnérables.
Se pose néanmoins la question de la véracité de l'information. Le New York Times indique avoir demandé à un expert en sécurité, non affilié à Hold Security évidemment, de se pencher sur les données dérobées. Sa conclusion serait sans appel : elles seraient bien authentiques. Après, que cela soit ou non le cas, la méthode reste intéressante.
1,2 milliard de MdP auraient été dérobés : une annonce « anxiogène pour le grand public »
Interrogé par nos confrères de l'AFP, Loïc Guezo, directeur stratégie de la société de sécurité informatique Trend Micro pour l'Europe du sud, tempère quelque peu cette information. En effet, il reconnaît volontiers que « c'est une attaque relativement simple mais intéressante par sa largeur et sa méthode structurée, qui a utilisé des ordinateurs infectés pour tester la vulnérabilité de sites internet. C'est assez peu courant, la technique est fine ». Mais précise tout de même qu'il « y a certainement beaucoup de déchets dans ce qu'ils [NDLR : les pirates] ont récupéré et ils vont se concentrer sur les mots de passe actifs ». Pour quoi faire ? Les utiliser afin de mettre en place du phishing en exploitant toutes les données récoltées, ou bien les revendre au marché noir.
Toujours dans les colonnes de nos confrères de l'AFP, Gérôme Billois, expert de chez Solucom (un autre cabinet spécialisé dans la sécurité) explique que « ce type d'annonce a un côté anxiogène pour le grand public, qui ne sait pas qui a été ciblé et s'il doit changer tous ses mots de passe, ce qui de toute façon ne sert à rien si les sites internet n'ont pas corrigé leurs vulnérabilités ». On se retrouve donc exactement dans la même situation qu'avec Heartbleed. Que la situation soit confirmée ou pas, cette précaution est de toute façon toujours valable, le problème étant souvent la communication et la transparence en cas de vols de données. En France par exemple, seuls les opérateurs et FAI sont obligés d'informer leurs clients, pas les autres sociétés.
Quoi qu'il en soit, les deux experts en sécurité s'accordent sur un point : « l'approche commerciale » de Hold Security qui consacre une part non négligeable de sa communication à la mise en avant de ses services de protection. Néanmoins, rien ne dit que Trend Micro et/ou Solucom auraient fait de même s'ils avaient découvert un piratage de cette ampleur.
