Un chercheur en sécurité a découvert un serveur contenant les identifiants de plus de 700 millions de comptes mail. Une partie des adresses serait réutilisée par un bot spammeur pour contourner les filtres anti-sécurité et diffuser un malware.

Plus de 711 millions d’identifiants de comptes mail en accès libre sur un serveur hébergé aux Pays-Bas : c’est ce qu’a découvert le chercheur en sécurité Benkow, qui s’est empressé de détailler ces trouvailles sur son blog ce 29 août.

Les comptes en question, listés dans de multiples fichiers texte avec leur serveur SMTP et port associé, sont utilisés dans un but bien précis : permettre au bot spammeur « Onliner » de contourner les filtres de spam en recourant à des adresses mail « authentiques », censés tromper la sécurité mise en place contre ce type de contenu. Une partie d’entre eux reprend ceux qui ont déjà été affectés par des piratages de grande ampleur, comme ceux de LinkedIn en 2012 et de Badoo en juin 2016.

La découverte est de taille, comme le précise Troy Hunt,l’expert en cybersécurité à la tête du site « Have I been pwned », qui permet de savoir en quelques secondes, à partir d’une adresse mail, si celle-ci a été victime d’un vol de données : « C’est une énorme liste [de spam]. […] La plus grande liste jamais mise en ligne sur Have i been pwned (HIBP) jusqu’ici est de 393 millions. […] Celle dont je parle aujourd’hui en compte 711 millions, ce qui en fait la plus importante jamais uploadée sur HIBP. » 27 % des mails découverts figuraient toutefois déjà sur le site.

Propagation du malware Ursnif

Benkow a quant à lui constaté que ce bot spammeur servait à propager un malware qui récolte les données personnelles de ses victimes — logins, informations de carte bleue… — : « Depuis 2016 au minimum, ce spambot est utilisé pour diffuser un trojan bancaire nommé Ursnif. J’ai vu ce spambot cibler des pays comme l’Italie ou encore des services comme les hôtels. »

Ursnif n’a pas chômé puisqu’il est à l’origine de plus de 100 000 infections dans le monde selon les précisions fournies par Benkow à ZDNet. L’efficacité de cette campagne d’infection tient notamment à l’identification opérée par les mails piégés : une fois qu’il a infecté sa victime, le hacker peut savoir à quel système d’exploitation il fait face, et donc se concentrer sur les utilisateurs de Windows plutôt que d’Android ou d’iOS.

Ce 29 août, Troy Hunt précisait : « L’adresse IP est basée aux Pays-Bas et Benkow et moi-même sommes en contact avec une source fiable sur place qui communique avec les forces de l’ordre afin de supprimer [le répertoire] au plus vite. »

Partager sur les réseaux sociaux