C’est le genre de mail du FBI qu’on préfèrerait ne jamais recevoir : « Urgent : attaquant dans les systèmes ». Heureusement, ces dizaines de milliers de messages envoyés le 13 novembre 2021 sont de faux avertissement comme l’explique Spamhaus, une ONG spécialisée dans la surveillance des cyberattaques, dont les campagnes de phishing. Mais l’adresse est bien réelle : les mails sont envoyés depuis un serveur du FBI.
Une fausse attaque, mais une faille du FBI bien réelle
L’adresse mail et l’IP appartiennent au FBI. D’après Spamhaus elles proviennent plus précisément du portail LEEP, un dispositif qui permet au FBI de communiquer avec différents acteurs locaux des forces de l’ordre. Dans son communiqué, l’agence fédérale confirme que c’est bien ce service qui a été compromis, mais souligne que seul le service de notification a été piraté, et non pas le service mail du FBI.
Le mail provient bien d’un serveur du FBI // Source : Spamhaus
« Aucun acteur n’a pu accéder ou compromettre des données ou des données personnelles d’identification dans le portail du FBI », clarifie le communiqué. Le bureau explique que la vulnérabilité était due à une mauvaise configuration d’un logiciel, corrigée quand le FBI a été mis au courant.
Des motivations encore floues
Les faux mails ne contiennent pas d’arnaque ou de lien dangereux. Ils se contentent de mentionner une « sophisticated chain attack », et désignent Vinny Troia comme l’un de ses auteurs, présenté dans le texte comme membre du gang cybercriminel The Dark Overlord. Vinny Troia existe, mais c’est un chercheur en cybersécurité renommé qui dirige deux entreprises de sécurité spécialisées dans le Dark web, NightLion et Shadowbyte. Pas vraiment le CV d’un pirate informatique.
Une question demeure : la possibilité d’utiliser un serveur du FBI ferait rêver la plupart des pirates informatique, alors pourquoi faire une campagne de mails factices sans hameçonnage, c’est-à-dire sans essayer de voler des informations ou de rediriger vers une arnaque?
Plusieurs hypothèses cohabitent sans s’exclure. Une première est celle d’exposer la vulnérabilité publiquement pour obliger le FBI a corriger les problèmes dans la précipitation. Mais la méthode utilisée, des dizaines de milliers de mails envoyés, sous-entend que le but est d’humilier l’agence. Dans un second temps, le fait de mentionner explicitement le chercheur en cybersécurité laisse penser à une action pour le discréditer.
L’auteur potentiel se cacherait derrière le pseudo Pompompurin. Ce dernier aurait envoyé un mail avec l’adresse du FBI pour revendiquer l’attaque auprès du journaliste Brian Krebs. La veille de l’envoi des mails, le compte Twitter éponyme a également publié plusieurs messages évasifs dans lesquels il nie participer à des activités illégales, tout en évoquant Vinny Troia, le chercheur nommé dans les faux mails.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
