Que vous soyez un expert en informatique ou un technophobe, à partir du moment où vous avez des données quelque part sur le web, vous pouvez être affecté par cette brèche. On ne vous a pas nécessairement volé directement. Vos données ont peut être été subtilisées à des services ou des fournisseurs auxquels vous avez confié des informations personnelles, à votre employeur, même à vos amis ou votre famille ». Voilà le discours flippant de Hold Security pour décrire la gigantesque collection de données personnelles volées que cette entreprise de sécurité a mis au jour.
Les chiffres présentés donnent en effet le tournis : d’après Hold Security, un gang d’une douzaine de hackers russes baptisé CyberVor aurait donc récupéré pas moins de 4,5 milliards de combinaisons de mots de passe et de noms d’utilisateurs. En omettant les doublons, CyberVor aurait accès à plus d’un milliard de comptes sur des milliers de sites différents, qui seraient rattachés à 500 millions d’adresses e-mail. Le hack du siècle, en somme.
Pour voler autant d’informations sensibles, CyberVor aurait usé de multiples sources et techniques, mais aurait surtout profité des services d’un botnet (un réseau de PC infectés par un logiciel malveillant) « qui a profité des ordinateurs des victimes pour identifier des vulnérabilités SQL sur les sites qu’ils visitaient. » Les membres de CyberVor auraient de cette manière identifié plus de 400 000 sites web vulnérables, qu’ils ont ensuite attaqué pour voler leur bases de données d’utilisateurs.
Des détails qui clochent
Sauf qu’il y a quelques petits détails qui clochent dans cette histoire. A commencer par le fait que Hold Security profite de cette annonce hallucinante pour tenter de s’enrichir immédiatement, en misant sur la peur du hacker qu’il a généré. En gros, la firme propose aux entreprises et aux particuliers de se préinscrire à un service –payant même s’il y a un essai gratuit- qui leur permettra notamment de savoir si oui ou non ils sont concernés par cette fuite de données. Et ce n’est pas donné : comptez 120 dollars par mois si vous êtes une entreprise.
D’autre part, Hold Security se refuse à donner le moindre nom de site dont la base a été piratée. Ce peut être compréhensible : son patron Alex Holden l’explique dans le New York Times, il ne souhaite pas révéler le nom des victimes pour des raisons de confidentialité. Il y aurait pourtant des entreprises du Fortune 500 selon lui dans le lot.
Mais comme le fait remarquer Forbes, il semble pour le moins étonnant (mais pas totalement impossible) que de si grandes entreprises se soient fait berner par une injection SQL, une technique très connue des hackers… et des experts en sécurité qui protègent les sites importants de telles attaques.
Des infos de piètre qualité ?
Il y a aussi de nombreuses informations qui manquent, dans la description de Hold Security. Quels botnets ont été utilisés ? Comment le malware a-t-il été inoculé dans la machine des victimes ? Et surtout pourquoi, comme l’indique le New York Times, le gang se contente-t-il d’utiliser pour l’instant leur fabuleuse base de données pour… envoyer du spam sur les réseaux sociaux, alors qu’ils pourraient à priori faire bien plus de mal ?
En réalité, il se peut que les milliards de mots de passe collectés par CyberVor étaient déjà disponibles sur le web underground depuis bien longtemps. Hold Security l’avoue sur son site : « Au départ, le gang a acquis des bases de données d’identifiants sur le marché noir ». Une pratique fort courante chez les cybercriminels, mais qui ne repose pas sur le moindre hack : il suffit de payer. Il est fort possible que ces « collectionneurs » aient au fil du temps accumulé un nombre de données incroyable, mais pas forcément « fraîches » et donc de piètre qualité. Il se peut aussi que la technique de l’audit d’un site par un botnet ait été fructueuse… Sur des sites de moindre envergure, voire des sites perso, mal sécurisés, qui n’ont pas fourni à Cybervor de quoi faire autre chose que du spam sur Twitter.
Quoiqu’il en soit, l’annonce de Hold Security vous donne une excellente excuse pour changer dès aujourd’hui vos mots de passe, ça ne fait jamais de mal !
Source : Hold Security
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.