C’est l’un des hacks les plus retentissants de ces dernières années. En inculpant ce 15 mars quatre personnes dont deux agents russes, le FBI pointe désormais du doigt les autorités russes du vol de plus de 500 millions d’identifiants Yahoo, confirmé par la société en septembre 2016.
Outre le volet politique de l’affaire, la manière dont les hackers ont procédé est très intéressante. Quelques détails sur l’opération ont été notamment donnés par Malcolm Palmore, l’agent en charge du bureau du FBI de la Silicon Valley, à Ars Technica.
D’abord un « spear phishing »
La première étape a consisté en une attaque très ciblée sur un employé de Yahoo ayant un accès « semi privilégié » aux données de l’entreprise. Il devait avoir suffisamment de droits pour permettre aux pirates d’aller plus loin, mais ne pas se situer trop haut dans la hiérarchie de l’entreprise pour ne pas attirer l’attention sur l’attaque. Cette première brèche a pu être ouverte grâce à de l’ingénierie sociale ou un « spear phishing », un hameçonnage conçu sur-mesure pour cette personne.
Cela aurait ainsi permis au hacker Alexsey Belan – déjà recherché par les autorités américaines pour l’intrusion sur les réseaux de site d’e-commerce – de partir en reconnaissance sur les réseaux internes de Yahoo. Il y aurait alors découvert deux outils d’importance. Le premier est la base de données des utilisateurs des services de l’entreprise (« User Database » ou UDB). Le second est un outil d’administration appelé « Account Management Tool ».
Ensuite de faux cookies
L’UDB ne donne accès directement à aucun compte, mais aurait au moins permis à l’équipe de repérer les cibles dignes d’intérêt selon ses critères. C’est surtout l’Account Management Tool qui leur aurait ensuite servi à s’introduire directement dans les comptes visés. Chaque utilisateur est en effet identifié par un code chiffré associé à son compte. Ce code sert à générer un cookie, qui installé sur la machine d’un utilisateur, lui permet de retourner sur son compte, sans avoir à s’identifier à chaque fois.
Cette découverte faite, Alexsey Belan a alors déplacé via FTP une partie des données de l’UDB sur son propre ordinateur entre novembre et décembre 2014. A partir de là, l’équipe a pu commencer à générer de faux cookies sans plus jamais avoir à pénétrer sur le réseau interne de Yahoo. Cette technique était déjà soupçonnée d’être celle utilisée par les hackers. Elle aurait ainsi permis d’accéder à plus de 6 500 comptes.
Parmi eux, le FBI précise qu’il y aurait des journalistes russes, des officiels des gouvernements russes et américains, ou encore des employés d’une société russe de sécurité informatique. Une « société de transport française » aurait également été visée, sans que le FBI ne précise pour autant de laquelle il s’agit.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.