L’attaque contre Facebook, partie émergée de l’iceberg

Le mois dernier, nous relations une attaque assez élaborée qui semblait dirigée contre Facebook. Dans la pratique, il semble désormais que le réseau social soit une victime parmi tant d’autres. Une enquête est en cours au FBI pour déterminer qui se cache derrière cette campagne beaucoup plus large que prévue.

Facebook, Twitter, Apple, Microsoft... 

En février, Facebook a publié une note concernant la sécurité. La société y révélait avoir été la cible d’une attaque assez élaborée. Le malware qui s’était introduit avait pu entrer grâce aux ordinateurs portables de deux développeurs employés. Ces derniers s’étaient auparavant rendus sur le site d’un développeur tiers, lui-même infecté. L’ensemble avait été rendu possible à l’époque par une faille Java 0-day. Oracle avait été mis au courant et une mise à jour avait été diffusée à peine quelques jours après.

Dans le même laps de temps, d’autres entreprises du secteur technologique ont été touchées. Ce fut notamment le cas pour Microsoft, Apple et Twitter. Dans tous les cas, le schéma d’attaque a été strictement le même : le site d’un développeur était infecté et une faille Java était exploitée pour percer les défenses du navigateur. Il est plus tard apparu que le site infecté était iPhoneDevSDK. Depuis, le ménage a été fait et la brèche a été colmatée.

iPhoneDevSDK n’était évidemment pas à l’origine de l’attaque, il n’en était qu’un vecteur. D’après les explications d’Ian Sefferman, le propriétaire, la faille a été introduite via un compte administrateur qui a pu être utilisé par les attaquants. La faille Java était à cette époque inconnue et visait des configurations particulières.

Constructeurs automobiles et confiseries 

Mais le site Security Ledger a publié hier de nouvelles informations. Si l’on pouvait penser jusqu’à présent que les firmes technologiques étaient visées en premier lieu, il semble que l’attaque soit tournée vers les cibles intéressantes au sens large, toutes américaines a priori. On apprend qu’au moins deux sites de développeurs ont été utilisés, dont iPhoneDevSDK, et que les cibles n’avaient pas nécessairement d’autres liens que leur nationalité.

Pratiquement tous les segments industriels ont fait les frais de ce type d’attaque. Cela inclut notamment plusieurs constructeurs automobiles, une grande entreprise de confiserie et même des agences gouvernementales. Une enquête est en cours au FBI, et on se souvient notamment que Facebook avait déclaré travailler avec les forces fédérales. On sait alors que d’autres entreprises avaient été touchées, sans savoir lesquelles, mais qu’elles avaient été mises en relation pour travailler ensemble.

Quant aux sources de l’attaque, la situation n’est pas encore claire. Les premières estimations tablaient sur une provenance chinoise, mais également sur une attaque qui aurait pu être soutenue par le pays lui-même. Une histoire qui n’aurait pas été sans rappeler la trilogie Duqu/Stuxnet/Flame et l’implication du couple États-Unis/Israël dans une cyberattaque de l’Iran. Mais les certitudes ne sont plus de rigueur et les doutes s’orientent vers une organisation criminelle.