Encore une base de données laissée sans protection, accessible à toute personne qui en connaîtrait l’adresse. Sauf que cette fois, ce n’est pas la sécurité d’une entreprise qui est à revoir, mais celle d’un groupe de cybercriminels.

Bob Diachenko, directeur chez Security Discovery, a repéré en ce début d’année 2021 une base en ligne contenant les informations de centaines de milliers de personnes, vraisemblablement victimes d’un malware. Dans le détail, il y a trouvé des données personnelles (emails, noms, adresses), des mots de passe ou encore des cookies d’authentification. Après avoir demandé pendant plusieurs semaines à l’hébergeur de l’adresse non protégée de la fermer, il a fini par contacter The Record Media pour enquêter plus amplement sur le jeu de données.

Même les cybercriminels ne sécurisent pas correctement leurs bases de données (volées)

Have I Been Pwned pourrait bientôt annexer ces données // Source : Louise Audry pour Numerama

Le serveur où se trouvait la base de données a fini par disparaître le 5 mai, ce qui a déclenché la publication du média. Diachenko n’a pas pu savoir si cette mise hors ligne a été effectuée par l’hébergeur ou par les cybercriminels eux-mêmes. Le chercheur a expliqué qu’il enverrait le contenu de la base à Troy Hunt, le fondateur de Have I Been Pwned, pour que les victimes puissent être averties.

Mieux que des mots de passe, des cookies

Dans le détail, The Record Media identifie que les données ont été collectées par le malware RacoonStealer, en raison du format des données. Une fois sur l’ordinateur de sa victime, ce logiciel malveillant va agréger toutes sortes d’informations et les envoyer vers un serveur de commande et contrôle piloté par les hackers. Ils n’ont ensuite plus qu’à transférer les données des différents ordinateurs infectés dans une grande base de données pour les analyser. C’est cette base, aussi appelée data lake, que Diachenko pense avoir découvert.

Les cybercriminels ont utilisé un malware en kit

RacoonStealer a pour particularité d’être un Malware-as-a-service, autrement dit, une sorte de malware à louer. Pour un abonnement compris entre 75 et 200 dollars par mois, des cybercriminels en herbe peuvent obtenir un outil pour générer différentes versions du malware, ainsi qu’un site piraté qui servira de point de lancement de la campagne de diffusion. Puisque ce genre de malware peut être exploité avec très peu de compétences informatiques, il n’est pas si surprenant que les cybercriminels n’aient pas correctement sécurisé leur butin.

D’après The Record Media, les données les plus abondantes de la base sont des cookies d’authentification, qui s’y trouvent en millions. Très recherchés par les cybercriminels, ils permettent de se connecter à un compte sans en avoir les identifiants. Mieux, ils permettent d’outrepasser la double authentification, une des protections les plus répandues. Résultat : des marchés noirs se sont spécialisés dans leur vente, particulièrement lucrative. Avec leur raté, les cybercriminels qui ont constitué la base se sont vraisemblablement fait dérober un butin particulièrement précieux.

Les cybercriminels ont fait la même erreur que les entreprises

Comme souvent, la base de données se trouvait sur un serveur Elasticsearch mal sécurisé. C’est une sorte d’Excel géant, qui permet de faire des opérations de calcul et de tri sur de gigantesques bases de données. Mais les utilisateurs de cette technologie oublient tellement souvent de mettre en place un mot de passe que des chercheurs comme Diachenko se sont spécialisés dans leur recherche. Et bien sûr, les cybercriminels sont aussi sur le coup.

En mai 2020, Comparitech avait réalisé une expérience afin de voir à quelle vitesse un Elasticsearch ouvert serait compromis. Bilan : 8h35 après sa mise en ligne, un premier visiteur avait déjà téléchargé son contenu. 11 jours plus tard, 175 personnes avaient manipulé la base de données. Autrement dit, lorsqu’un Elasticsearch reste ouvert plus d’une semaine, nul doute que des personnes — malveillantes comme bienveillantes — le trouveront.

Bref, les Elasticsearch non protégés sont une source bien connue de fuite, ce qui n’empêche pas des entreprises en tout genre de se rater. Rien que l’an dernier, nous avons parlé des cas français d’une plateforme de crowdfunding, d’un forum de rencontre BDSM, d’une app de rencontre ou encore de sites de voyance. On peut désormais ajouter le groupe de cybercriminels à cette liste.