Encore une base de données laissée sans protection, accessible à toute personne qui en connaîtrait l’adresse. Sauf que cette fois, ce n’est pas la sécurité d’une entreprise qui est à revoir, mais celle d’un groupe de cybercriminels.
Bob Diachenko, directeur chez Security Discovery, a repéré en ce début d’année 2021 une base en ligne contenant les informations de centaines de milliers de personnes, vraisemblablement victimes d’un malware. Dans le détail, il y a trouvé des données personnelles (emails, noms, adresses), des mots de passe ou encore des cookies d’authentification. Après avoir demandé pendant plusieurs semaines à l’hébergeur de l’adresse non protégée de la fermer, il a fini par contacter The Record Media pour enquêter plus amplement sur le jeu de données.
Le serveur où se trouvait la base de données a fini par disparaître le 5 mai, ce qui a déclenché la publication du média. Diachenko n’a pas pu savoir si cette mise hors ligne a été effectuée par l’hébergeur ou par les cybercriminels eux-mêmes. Le chercheur a expliqué qu’il enverrait le contenu de la base à Troy Hunt, le fondateur de Have I Been Pwned, pour que les victimes puissent être averties.
Mieux que des mots de passe, des cookies
Dans le détail, The Record Media identifie que les données ont été collectées par le malware RacoonStealer, en raison du format des données. Une fois sur l’ordinateur de sa victime, ce logiciel malveillant va agréger toutes sortes d’informations et les envoyer vers un serveur de commande et contrôle piloté par les hackers. Ils n’ont ensuite plus qu’à transférer les données des différents ordinateurs infectés dans une grande base de données pour les analyser. C’est cette base, aussi appelée data lake, que Diachenko pense avoir découvert.
Les cybercriminels ont utilisé un malware en kit
RacoonStealer a pour particularité d’être un Malware-as-a-service, autrement dit, une sorte de malware à louer. Pour un abonnement compris entre 75 et 200 dollars par mois, des cybercriminels en herbe peuvent obtenir un outil pour générer différentes versions du malware, ainsi qu’un site piraté qui servira de point de lancement de la campagne de diffusion. Puisque ce genre de malware peut être exploité avec très peu de compétences informatiques, il n’est pas si surprenant que les cybercriminels n’aient pas correctement sécurisé leur butin.
D’après The Record Media, les données les plus abondantes de la base sont des cookies d’authentification, qui s’y trouvent en millions. Très recherchés par les cybercriminels, ils permettent de se connecter à un compte sans en avoir les identifiants. Mieux, ils permettent d’outrepasser la double authentification, une des protections les plus répandues. Résultat : des marchés noirs se sont spécialisés dans leur vente, particulièrement lucrative. Avec leur raté, les cybercriminels qui ont constitué la base se sont vraisemblablement fait dérober un butin particulièrement précieux.
Les cybercriminels ont fait la même erreur que les entreprises
Comme souvent, la base de données se trouvait sur un serveur Elasticsearch mal sécurisé. C’est une sorte d’Excel géant, qui permet de faire des opérations de calcul et de tri sur de gigantesques bases de données. Mais les utilisateurs de cette technologie oublient tellement souvent de mettre en place un mot de passe que des chercheurs comme Diachenko se sont spécialisés dans leur recherche. Et bien sûr, les cybercriminels sont aussi sur le coup.
En mai 2020, Comparitech avait réalisé une expérience afin de voir à quelle vitesse un Elasticsearch ouvert serait compromis. Bilan : 8h35 après sa mise en ligne, un premier visiteur avait déjà téléchargé son contenu. 11 jours plus tard, 175 personnes avaient manipulé la base de données. Autrement dit, lorsqu’un Elasticsearch reste ouvert plus d’une semaine, nul doute que des personnes — malveillantes comme bienveillantes — le trouveront.
Bref, les Elasticsearch non protégés sont une source bien connue de fuite, ce qui n’empêche pas des entreprises en tout genre de se rater. Rien que l’an dernier, nous avons parlé des cas français d’une plateforme de crowdfunding, d’un forum de rencontre BDSM, d’une app de rencontre ou encore de sites de voyance. On peut désormais ajouter le groupe de cybercriminels à cette liste.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !