Deux millions : c’est le nombre de comptes dérobés depuis plusieurs services en ligne tels que Facebook et Yahoo!. Les pirates ont mené leur opération grâce à un malware dont la mission était de récupérer les identifiants enregistrés dans l’ordinateur ou en écoutant les frappes au clavier.
Deux millions de mots de passe dérobés
La société Trustwave a publié un communiqué dans lequel elle explique une importante découverte. C’est ainsi que les identifiants de deux millions de comptes environ ont été dérobés par des pirates. Ces comptes recouvrent divers services :
- 1 580 000 identifiants de sites
- 320 000 identifiants de services email
- 41 000 identifiants de comptes FTP
- 3 000 identifiants d’accès du bureau à distance
- 3 000 identifiants de shells sécurisés
Pour obtenir ces informations, les pirates ont eu recours à un malware nommé Ponny. Ce dernier était chargé de récupérer les précieux identifiants via deux méthodes : soit en surveillant la frappe au clavier, soit en les récupérant directement dans le disque dur.
Il n’est pas précisé cependant la manière exacte dont le malware aurait pu être installé sur ces machines, en profitant de failles de sécurité sur des sites par exemple, couplées à d’autres failles sur les ordinateurs des internautes. Trustwave indique cependant que le navigateur a probablement joué un rôle déterminant dans le processus d'attaque.
Plus de la moitié des comptes compromis viennent de Facebook
Les identifiants proviennent à 57 % de Facebook, ce qui donne 1 140 000 de comptes compromis environ. Pour le reste, plus de 10 % proviennent de Yahoo!, presque 10 % de Google, presque 4 % de Twitter et environ 1,5 % de LinkedIn. Trustwave fait remarquer toutefois que la présence des sites vk.com et odnoklassniki.ru, des réseaux sociaux russes, pourrait renseigner sur l’origine des attaques.
Le malware Pony peut être commandé à distance par un composant nommé Pony Botnet Controller. C’est par ce biais que les machines infectées ont reçu l’ordre d’envoyer les informations dérobées à un serveur. Abby Ross, porte-parole de Trustwave, a indiqué à Mashable que le malware « était configuré de telle manière que la majorité des identifiants étaient envoyés à un serveur situé aux Pays-Bas. Ce serveur n’affiche pas la provenance des données et nous ne pouvons donc pas dire combien d’utilisateurs ont été affectés dans chaque pays. Cependant, nous pouvons confirmer que les attaquants ont ciblé des utilisateurs dans le monde entier, y compris aux États-Unis, en Allemagne, à Singapour, en Thaïlande et ailleurs ».
Les utilisateurs prévenus et les mots de passe réinitialisés
Selon Trustwave, les informations volées ne se seraient pas retrouvées en ligne de manière publique. Ce n’est qu’en analysant le code source qu’ils ont pu récupérer des clés qui ont par la suite été utilisées pour accéder au serveur C&C (Command and control). Par ailleurs, toutes les sociétés concernées ont été averties et ont précisé faire le nécessaire. Dans le cas de Facebook, la plus concernée par le problème, un porte-parole a bien confirmé que des emails étaient actuellement envoyés aux utilisateurs touchés par le vol d’informations et que les mots de passe étaient automatiquement remis à zéro.
Enfin, le bulletin de sécurité de Trustwave rappelle un élément qui revient systématiquement quand on parle de sécurité des mots de passe : trop d’entre eux sont encore faibles. Ainsi, presque 16 000 mots de passe étaient de la forme « 123456 ». On rappellera une fois de plus que quelques conseils élémentaires doivent être suivis pour concevoir un mot de passe efficace, surtout quand il s’agit d’accès à des services stockant de très nombreuses informations personnelles : utiliser des minuscules, des majuscules, des chiffres et au moins un caractère de ponctuation.
