La lecture de l’acte d’accusation publié hier par la justice américaine, suite à l’enquête du FBI sur le hack de Yahoo en 2014, ressemble à un roman de John Le Carré. Bien-sûr, il est encore tôt pour affirmer que les quatre individus pointés du doigt (deux officiers du FSB, Dmitry Dokuchaev et Igor Sushchin, et deux hackers, le Russe Alexsey Belan et la Canadien Karim Baratov) sont bien responsables des faits qui leur sont reprochés, mais la précision des charges qui pèsent sur eux montre toutefois que les enquêteurs détiennent des éléments solides.
S’il s’agit là de la première mise en accusation d’officiers du FSB (l’héritier du KGB) par la justice américaine et de la seconde affaire de ce type outre-Atlantique (Washington avait déjà inculpé 5 militaires chinois pour des faits de piratage), l’affaire confirme surtout plusieurs pratiques fréquemment dénoncées par les experts. Voici les 6 éléments à retenir de l’affaire :
L’acte d’accusation n’indique pas comment le réseau de Yahoo a été compromis. On apprend simplement que le vol de données relatives à 500 millions de comptes faisait partie « d’une intrusion plus large » du réseau du prestataire de webmail, intrusion qui a démarré en 2014 ou avant et s’est étalé au moins jusqu’en septembre 2016. Les hackers employés par le FSB avaient déployé des outils afin de conserver l’accès au réseau du portail Internet. C’est via cet accès que les pirates ont téléchargé (via FTP) une version de la base de données utilisateurs (UDB, pour User Database) renfermant les noms d’utilisateurs, les e-mails de récupération, les numéros de téléphone, les questions de récupération des mots de passe (et les réponses associées) et le nonce utilisé lors de l’authentification (l’emploi de ce nombre arbitraire est censé empêcher les attaques par rejeu). Au-delà de cette copie de la base de données, les cybercriminels ont aussi eu accès à AMT (Account Management Tool), l’outil permettant à Yahoo d’accéder et de gérer les informations stockées dans UDB. Bref, le joyau de la couronne de l’activité webmail de la société californienne.
Ces informations en main, les hackers ont commencé rapidement l’exploitation des failles qu’ils se sont ménagés dans le réseau Yahoo. L’acte d’accusation montre que les motivations du FSB visaient clairement à compromettre les comptes de cibles clairement identifiées, et repérées dans la base UDB. Pour ce faire, les hackers ont forgé des cookies, en exploitant les nonces cryptographiques récupérés lors du vol de données afin de se faire passer pour les utilisateurs légitimes des comptes qu’ils ciblaient. A l’appui de ses affirmations, la justice américaine dit détenir un mail échangé entre les officiers du FSB, expliquant comment utiliser un utilitaire spécifique pour forger les cookies Yahoo. Les pirates sont également accusés d’avoir utilisé des cookies contrefaits à l’intérieur même du réseau de Yahoo, probablement pour se ménager un accès à d’autres systèmes du prestataire américain. « Les cookies forgés tant pour l’interne que pour l’externe ont permis aux conspirateurs d’apparaître aux serveurs Yahoo comme les possesseurs légitimes des comptes, sans avoir besoin d’entrer un nom d’utilisateur et un mot de passe pour accéder au compte en question », résume l’acte d’accusation. Au total, 6 500 comptes Yahoo auraient été ciblés via cette technique de contrefaçon de cookies.
Notons au passage que l’accès à AMT que se sont ménagés les hackers joue un rôle clef dans l’identification des cibles. « En combinant leur contrôle de la base UDB volée et leur accès à AMT, les conspirateurs pouvaient, par exemple, rechercher dans UDB des comptes Yahoo pour lesquels les utilisateurs avaient fourni un e-mail de récupération hébergé par une entreprise ciblée par les conspirateurs […] et, ensuite, utiliser les informations d’AMT pour se ménager un accès non autorisé aux comptes ainsi identifiés », via les cookies forgés. Parmi les cibles des officiers du FSB, selon la justice américaine : des journalistes russes, des financiers, quelques responsables d’entreprises américaines, des officiels de pays voisins de la Russie, mais aussi le directeur technique d’une entreprise de transport française, non précisée. Signalons que les hackers pilotés par le FSB auraient aussi visé des employés d’autres prestataires disposant de comptes chez Yahoo. L’acte d’accusation mentionne ainsi trois salariés d’une entreprise de Cloud américaine et le dirigeant d’un FAI et fournisseur de webmail russe.
Si l’opération semble avoir été pilotée par le FSB à des fins d’espionnage de cibles bien précises, Alexsey Belan semble en avoir profité pour mener à bien quelques affaires plus personnelles et très lucratives. Il est ainsi parvenu à détourner le moteur de recherche anglophone de Yahoo pour afficher un lien frauduleux renvoyant vers une pharmacie online. Engrangeant au passage des commissions. Le même Belan se serait également servi de ses accès aux systèmes de Yahoo pour construire une gigantesque base de données pour spammeurs. Pour ce faire, le pirate russe a forgé en masse pas moins de 30 millions de cookies, lui ménageant un accès à autant de comptes. Ce qui lui a permis de récupérer les contacts de ces comptes piratés et de constituer une base de données d’e-mails, dont le volume n’est toutefois pas précisé dans l’acte d’accusation.
Comme le montre le ciblage du FAI russe et du prestataire de Cloud américain, le FSB aurait vu son piratage de Yahoo comme un levier pour compromettre des comptes tiers, situés chez d’autres prestataires. Comment ? En examinant la liste des comptes mails de récupération laissés par les utilisateurs jugés intéressants. En cherchant, dans l’historique des courriels Yahoo, d’éventuels mots de passe liés à des comptes chez d’autres prestataires comme Google ou Apple. En exploitant du spearphishing, pour pousser les utilisateurs légitimes de ces comptes à dévoiler leur mot de passe. Au total, au moins 80 comptes ont ainsi été compromis, dont au moins 50 chez Gmail. Parmi les victimes, un dirigeant, un ancien responsable des ventes et un chercheur d’une « entreprise russe de cyber-sécurité majeure », dont le nom n’est pas précisé (même si son identité laisse peu de place aux doutes). Pour chacun de ces piratages, Karim Baratov, le hacker canadien qui semble avoir été préposé à ces opérations, recevait, après avoir produit la preuve de ses succès, environ 100 dollars américains.
A lire aussi :
Yahoo : les données volées ont servi à fabriquer de faux cookies
Fuite de données Yahoo : pourquoi les spécialistes tombent des nues
Piratage de Yahoo : les données sont à vendre depuis août 2016
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…