Un duo de jeunes pirates s’est connecté à une douzaine de sonnettes connectées pour lancer des fausses alertes à la police. Ils ont ensuite diffusé les interventions sur les réseaux sociaux.

C’est un cas d’école du piratage. Deux jeunes hommes ont été arrêtés en décembre dernier aux États-Unis après avoir pris le contrôle d’une douzaine de sonnettes connectée de la marque Ring, une filiale d’Amazon. Ils s’amusaient ensuite à envoyer des fausses alertes aux forces de l’ordre et diffuser leur intervention sur les réseaux sociaux depuis les caméras intégrées dans ces appareils de sécurité. On parle de swatting pour désigner ce type de « canulars », qui s’avèrent parfois mortels.

Pour s’assurer que la police arrive l’arme à la main, le duo de hackers prétexte des situations d’urgence comme des parents prêts à s’entretuer ou des personnes tenues en otage. Sur place, les équipes découvrent une famille en train de dîner calmement, sous le rire des pirates qui insultent les forces de l’ordre à travers le haut-parleur de la sonnette.

Une connexion aux comptes Yahoo

Comment deux hommes âgés de 20 et 21 ans ont pris le contrôle de douze appareils différents ? En se connectant au compte des victimes, avec leur identifiant et mot de passe, tout simplement. Les accusés, Christian Nelson et James Thomas Andrew McCarty prétendent sur le réseau social Telegram avoir utilisé la technique de « force brute » : un logiciel tente de s’authentifier sur un site en testant des milliards de combinaisons différentes jusqu’à trouver la bonne.

James Thomas Andrew McCart, à gauche, et Kya Christian Nelson, à droite. // Source : Service correctionnel
James Thomas Andrew McCart, à gauche, et Kya Christian Nelson, à droite. // Source : Service correctionnel

On ne peut croire les jeunes malfaiteurs sur parole. Le juge américain a indiqué que les hackers se sont connectés depuis les comptes Yahoo des victimes. Les fuites de données laissent des milliards d’identifiants sur les forums et le darknet, et on peut parfaitement tenter de se connecter à travers les données fournies dans un fichier, parfois gratuitement. Yahoo étant l’un des services de messagerie les plus anciens du web, il est d’autant plus facile de trouver des mots de passe en libre accès. Les deux accusés encourent une peine maximale de cinq ans de prison.

On peut tirer plusieurs leçons de cette affaire. Les recommandations sur le mot de passe, répétées à longueur de journée par les médias et les services publics, ne sont pas des conseils de grand-mère à prendre à la légère. Une combinaison complexe ou modifiée après des fuites de données massives évitent que l’on s’infiltre sur nos comptes. Ensuite, la multiplication des objets connectés accroit les scénarios de piratage. Au-delà du canular, les deux pirates pouvaient espionner les familles et les harceler au quotidien. Amazon a procédé à une correction des vulnérabilités sur les appareils Ring en août dernier, mais aussi protégé que peut-être un appareil, une fois que les hackers ont les identifiants en main, ils n’auront aucun mal à entrer.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.