Des espions iraniens se piègent en diffusant des vidéos d’eux-même en plein piratage informatique<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Des espions iraniens se piègent en diffusant des vidéos d’eux-même en plein piratage informatique
©LIONEL BONAVENTURE / AFP

Cyber-guerre

Des espions iraniens se piègent en diffusant des vidéos d’eux-même en plein piratage informatique

Une task-force d’IBM, la X-Force security a obtenu cinq heures de vidéos dans lesquelles on peut voir des hackeurs iraniens en plein piratage de boîtes Gmail.

Michel Juvin et Didier Hardoin
Michel Juvin

Michel Juvin

Michel Juvin est expert cybersécurité, membre du CESIN.

Voir la bio »
Didier Hardoin

Didier Hardoin

Didier Hardoin est ingenieur en systèmes d'information, spécialiste en cybersecurité.

 

Voir la bio »

Atlantico : Une task-force d’IBM, la X-Force security a obtenu cinq heures de vidéos dans lesquelles on peut voir des hackeurs iraniens en plein piratage de boîtes Gmail. Que cela nous apprend-t-il sur leur méthodes ? 

Didier Hardoin : Les hackeurs Iraniens connus également sous le nom d'APT 35, sont une agence étatique sponsorisé par le gouvernement Iranien. Dans les découvertes des vidéos faites par IBM, on peut voir une démonstration de l'exfiltration de données (comptes Google et Yahoo). On parle d'exflitration de données car en ayant accès à un compte Google, on a accès à tout l'univers de services attaché à cette dernière: Drive, Mail, Google docs... L'attaquant va donc s'intéresser à extraire le plus de données liés au compte compromis. 

Premièrement, l'attaquant va siphonner (copie) toute la boîte mail de la victime vers sa machine et l'ajouter à un agregateur de courrier (pour continuer l'espionage), au même temps il s'occupe de supprimer les alertes que Google ou Yahoo peuvent envoyer à l'utilisateur (il est important de prendre en compte que l'attaquant a pris contrôle total du compte), pour ensuite télécharger les photos et contacts de l'utilisateur. Le processus dure environ de 3 minutes à 4 minutes, et peut augmenter selon la taille de la boîte. Il se sert également de Google takeout (takeout.google.com) qui permet d'exporter le contenu du compte google (localisation, appareils associés, etc). Ce processus n'est pas un attaque très sophistiquée, mais plutôt une série de multiples actions répétitives simples pour une 'grande' opération de phishing.

La méthodologie utilisé n'est pas très complexe, mais la masse d'informations obtenues paie, l'attaquant peut donc avoir des renseignements plus précis sur les victimes : photos, documents (impots, factures, copies des cartes d'identité, bulletins de salaire, etc. La question serait pourquoi faire ? Des faux profils, vol d'identité, accès aux contacts de la victime, faire pression sur elle... 

Michel Juvin : En résumé, les enseignements de ce piratage de boîte mail nous apprennent que :
- Les hackers Iraniens possèdent des solutions et scénarios d’attaque puissants et ils les maîtrisent très bien
- La vitesse (j’ajouterai la facilité) avec laquelle le hacker prend le contrôle de la boîte mail est impressionnante et donc inquiétante
- Enfin, heureusement que depuis plusieurs années, les systèmes de messagerie (dont Gmail qui a été le premier à proposer à tous ces utilisateurs y compris pour le grand public), proposent la double authentification et donc évitent ce genre de problème.

De plus, pour les comptes à privilèges en reprenant la notion de Proofpoint (les VAP : Les Very Attacked People) la double authentification est proposée/imposée par tous mes collègues en entreprise.

De plus, on comprend (bien que n’ayant pas vu les vidéos), qu’il s’agit de forces étatiques qui effectuent ces attaques ; c’est une autre confirmation que nous sommes bien en cyber-guerre et que dans cette première phase, comme pour toutes les guerres, le renseignement est primordial et même, la composante la plus importante de la cyber-guerre. C’est encore une fois, l’information qu’il faut à protéger aujourd’hui et c’est l’un des objectifs de notre communauté de diminuer les risques de vol/fuite d’information.

Que cherchent à faire ces hackeurs iraniens en piratant des comptes Gmail ? 

Didier Hardoin : Deux objectifs dans ces vidéos. L'un est purement une démonstration de pouvoir : comment obtenir (siphonner) rapidement des informations des cibles. Le deuxième : ces vidéos étaient clairement faites en tant que tutoriel pour les nouveaux hackers dans ce groupe, pour les entrainer. L'usage donnée ensuite à ces comptes piratés varie entre l'utilisation pour le phishing, ou de continuer à espionner la boîte mail. Bien éviddement sur les principaux cibles de ces vidéos, et la plupart du temps, ce sont très probablement des opérations d'espionnage.

Michel Juvin : Comme on le sait trop, le système de messagerie en entreprise comme dans le privé, contient malheureusement beaucoup d’informations qui sont confidentielles (documents confidentiels, secrets de fabrication, extrait de formule, contrat avec des partenaires ou sous-traitants, solutions de gestion des données, informations stratégiques, …parfois même des droits d’accès !!) car les utilisateurs apprécient la facilité d’utilisation du mail.

Malgré les recommandations de toute la communauté des Experts en Cybersécurité, dont mes pairs du CESIN, on rappelle régulièrement les consignes de sécurité et les alternatives pour stocker ou partager des informations sensibles. Progressivement, d’ailleurs, les utilisateurs adoptent ces solutions de sécurité car on a tous conscience que la sécurité (confidentialité et intégrité) des données est une nécessité désormais.

Face à une telle menace, comment pouvons-nous prévenir de ces attaques ?

Didier Hardoin : L'importance de la culture cyber, et de la cyber vigilance implique de nous rappeller de certaines règles élémentaires: https://www.ssi.gouv.fr/particulier/precautions-elementaires/dix-regles-de-base/

On peut les résumer très succintement ainsi pour nos comptes dans le cloud :
- Avoir un mot de passe complexe de qualité: Chiffres et lettres MAJ et min, avec des numéros et caractères spéciaux.
- Activer la double authentification: Cela permet d'authentifier (et protégér) le compte avec deux facteurs: le mot de passe et un objet que vous avez en votre possession (ex. téléphone portable). La double authentification s'avère un moyen de protection, puisque ces vidéos montrent que lorsque le mot de passe ne marchait pas ou que ce dernier avait une double authentification, l'attaquant passait à la cible suivante
- Changer le mot de passe périodiquement
- Passer en révision les paramètres de sécurité afin de vérifier que ces derniers sont à jour et aucun élément nouveau n'a pas été introduit
- Passer en révision les applications tierces qui sont autorisées à avoir accès à votre compte/mail
- Utiliser un gestionnaire de mots de passe

Des guides sur les bonnes pratiques sont disponibles sur le site www.ssi.gouv.fr

Michel Juvin : Comme cela est indiqué dans l’article la double authentification est bien comprise par les utilisateurs.

Je recommande de plus de mettre en place une solution qui permet d’identifier le device qui accède à votre messagerie ; c’est le cas de la solution Yubico qui sécurise avec une authentification physique via un dongle biométrique, le device qui pourra accéder à vos informations. Cela correspond à mettre en place une triple vérification de l’identité de l’utilisateur. Depuis plusieurs années, c’est cette solution qui est pour moi un impératif pour justement les VAP (admin et utilisateurs manipulant des informations confidentielles) compte tenu de leur exposition aux risques.

Pour compléter cette recommandation, il est nécessaire d’appliquer le concept du Zéro-Trust (historiquement développé par le Jéricho Forum en 2003) pour tous les accès aux données sensibles de l’entreprise. Ce concept autorisant le droit d’accès peut se modéliser sous la forme d’une fonction booléenne de 4 paramètres (Fn(1,2,3,g(a,b,c))) :

  1. L’authentification de l’utilisateur (avec justement un identifiant possédant le multi-facteur d’authentification),

  2. Le device utilisé,

  3. La localisation de l’utilisateur,

  4. Et l’application souhaitée qui s’exprime en fonction de plusieurs paramètres (en fonction de la complexité de l’application) :
    a - le nom de l’application,
    b - le type d’accès (consultation, mise à jour),
    c - les options d’impression ou de sauvegarde, …

Ce concept est difficile à mettre en place et, bien souvent, les entreprises installent une solution technique qui prend en compte les trois premiers critères techniques. Le paramétrage du droit d’accès par application, correspondant au « droit d’en connaître », n’est pas simple à installer et nécessite qu’il soit prévu lors du développement de l’application.

Enfin, il est notoirement important de rester attentif au contenu des messages (plus de 90% des failles de sécurité ont pour origine un mail) et d’écouter les recommandations de l’expert cybersécurité interne de l’entreprise qui rappelle régulièrement à la vigilance les utilisateurs.

Commentaires

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !