Rétrospective du piratage en 2016

4
160

2016 a été incontestablement une année très lourdement chargée en piratages en tous genres. Voici une rétrospective la plus complète possible.

I. Multiplication des attaques via ransomwares

Si l’on doit décerner la palme des e-menaces en 2016, les ransomwares (ou rançongiciels) sont sans équivoques les grands gagnants de l’année ! 2016 a été une année de très forte progression de ce type de malware, faisant énormément de dégâts et de bénéfices pour les cybercriminels. Cette brusque hausse d’activité du ransomware est principalement due à l’industrialisation et à l’automatisation du processus sur le DarkNet (location pas cher de kits clés en main via des plateformes dédiées).

Selon Avast, ce sont plus de 150 nouvelles formes de ransomware qui ont été détectées cette année. Parmi eux, citons Locky, Jigsaw, Petya, Ransom32, CryptoWall, TeslaCrypt, Popcorn Time, etc.

Particuliers ou entreprises, personne n’est à l’abri, même avec un antivirus ou derrière un VPN. Parmi les victimes n’ayant pas réalisé de sauvegarde récente, le paiement de la rançon (en Bitcoin) est souvent l’unique espoir (très mince d’ailleurs !) de retrouver leurs précieux fichiers chiffrés par le ransomware.

Très efficace, facile à créer, à louer ou à acheter, le ransomware est devenu l’incontournable outil de la cybercriminalité.

II. Des APT toujours plus agressives et vicieuses

Kaspersky a révélé l’existence de Poseidon, un groupe de pirates informatique de haut vol ciblant les grands groupes mondiaux en toute discrétion. Le but ? Récupérer un maximum d’informations stratégiques sans être repéré puis les revendre au plus offrant sur le marché noir à des tarifs exorbitants.

Les données critiques servent aussi comme moyen de pression ou de racket dans les hautes sphères. Ce type de cyberattaque menée par des hackers d’élites se démarque par sa très haute technicité qui impressionne le monde entier.

Dans le cas de Poseidon, les maîtres-espions ont réussi l’exploit de rester indétectable durant plus de dix ans. Rien n’est à l’abri sur Terre, même pas les communications satellite.

III. De nombreux braquages bancaires numériques

2016 marque l’arrivée massive de l’ère du cyberbraquage de banque ! Kaspersky a de son côté constaté le grand retour de Carbanak, une APT (Advanced Persistent Threat) très perfectionnée ayant permis au groupe de cybercriminel à sa tête de dérober plus d’un milliard de dollars dans une centaine de banques différentes.

Mais en 2016, deux autres nouveaux groupes de cybercriminels spécialisés cherchent à les imiter : il s’agit de Metel et GCman. En mai, plusieurs banques ont été victimes de transferts de fonds frauduleux basés sur des virements Swift non autorisés. La Banque Centrale du Bangladesh s’est ainsi fait dérober 81 millions de dollars, quand la banque équatorienne a vu disparaître 12 millions de dollars. Une partie des sommes a pu être pistée et récupérée sur des comptes bancaires de casinos basés aux Philippines.

IV. Un record de piratages massifs de base de données

2016 a établi le record absolu dans l’histoire de l’informatique et d’Internet en matière de vol de données personnelles ! Ce sont des dizaines d’énormes bases de données qui ont été piratées ou dévoilées pour être mises en vente sur le blackmarket en échange de quelques bitcoins.

Parmi les victimes, on peut citer notamment LinkedIn (117 millions d’identifiants), MySpace (360 millions), Tumblr (68 millions), Twitter (71 millions), VK (93 millions), Dropbox (68 millions), Fling (40 millions), iMesh (49 millions), Last.fm (43 millions), Friend Finder Network (400 millions), Dailymotion (87 millions), etc.

Parfois, les mots de passe ne sont pas stockés de manière sécurisée (aucun chiffrement ou hachage complètement dépassé). Tellement les fuites ont été massives, que des sites spécialisés dans le traitement de ces informations ont émergé pour en faire leur business. C’est par exemple le cas de LeakedSource.

Pour savoir si son adresse mail a été impactée par l’une des fuites, il es possible d’interroger le service “‘;–have i been pwned?” créé et géré par le chercheur en sécurité informatique Troy Hunt.

V. Piratage des élections américaines

Sujet très sensible politiquement. Au premier semestre 2016,alors que la campagne électorale américaine battait son plein, le Comité National Démocrate (Democratic National Committee ou DNC) est la cible de deux groupes de pirates que les experts associent au gouvernement russe : APT28 alias Fancy Bear et APT29 alias Cozy Bear.

Les deux groupes de hackers étatiques russes seraient pilotés respectivement par les services spéciaux russes (FSB) et le renseignement militaire russe (GRU). Suite à ces piratages, des dizaines de milliers d’emails confidentiels se sont retrouvés sur le web, notamment via WikiLeaks. Ces révélations ont affaibli l’image du parti démocrate et de sa candidate, Hillary Clinton.

Certains pensent même qu’elles ont été décisives dans la victoire de Donald Trump. Le président Barrack Obama, pour sa part, a accusé publiquement le Kremlin d’être à l’origine de ces piratages et a promis des représailles…

VI. Piratage de la NSA

Coup dur pour l’agence de renseignement la plus puissante du monde. Un mystérieux groupe de hackers baptisé “The Shadow Brokers” publie sur le Web toute une panoplie d’outils de piratage secrets qu’ils auraient volé directement à la NSA.

Les experts en sécurité les ayant analysés sont rapidement convaincus de l’authenticité de ces derniers dont l’efficacité repose sur plusieurs failles zero-day dans des équipements réseaux de grandes marques (telles que Cisco, Fortinet, Netscreen). Les hackers de Shadow Brokers disent posséder encore d’autres outils encore plus exclusifs et dangereux qu’ils sont prêts à vendre au plus offrant.

Nul doute qu’il s’agit là d’une profonde humiliation pour l’agence de renseignement américaine. Cependant, certains experts en sécurité estiment qu’il s’agit plutôt d’une mascarade, orchestrée une nouvelle fois par le Kremlin, sous la forme d’un avertissement lancé à l’Amérique en cas de riposte cybernétique. Qui a parlé de guerre froide numérique ?

VII. Découverte d’un redoutable logiciel de maître-espion

Cette découverte a été presque un heureux hasard, qui aurait bien pu coûter la peau à de nombreux militants des droits de l’homme. En effet, l’émirati Ahmed Mansoor a reçu et détecté un SMS piégé sur son smartphone qu’il s’empresse de transférer aux chercheurs en sécurité de CitizenLab et de Lookout.

Grand bien lui fasse puisqu’il s’est avéré que la menace était bien réelle : les chercheurs ont mis la main sur Pegasus, un redoutable logiciel espion ultra-sophistiqué concocté par l’éditeur israélien NSO Group, spécialisé dans l’espionnage de haut vol.

Son analyse révèle trois failles zero-day et une multitude de possibilités : vol du carnet d’adresse et des mots de passe, interception des communications (texte, audio, vidéo et applications de messagerie), enregistrement sonore et vidéo à distance, etc.  

VIII. Début des cyberattaques exploitant les objets connectés

Tout commence en septembre par la violente cyberattaque ciblant l’hébergeur français OVH. Un violent DDoS qui bat tous les records enregistrés jusqu’à maintenant avec un débit dépassant allègrement les 1 Tbit/s. A peine quelques jours après, c’est au tour du blog du journaliste d’investigation en sécurité informatique Brian Krebs d’être la cible du redoutable botnet baptisé Mirai.

Ce botnet est d’une nature nouvelle encore jamais vue : il est composé de centaines de milliers d’objets connectés ! Surtout des caméras de surveillance IP mal protégées et d’équipements réseaux.

Mirai a été développé par un certain « Anna-senpai » qui a eu la mauvaise idée de diffuser gratuitement le code source de son oeuvre en ligne après ces attaques réussies. Le résultat ne s’est pas fait attendre et Mirai est rapidement devenu de plus en plus gros tout en se multipliant.

C’est en octobre où il va atteindre son paroxysme en déconnectant une partie du Web américain (dont Netflix, Spotify, Airbnb, Twitter ou encore Paypal).

Une énième violent cyberattaque sera déclenchée fin novembre, lorsqu’une variante de Mirai s’en prend aux opérateurs téléphonique et fournisseurs d’accès mondiaux. En Allemagne, cela a déclenché une véritable crise qui a menée à la déconnexion pure et simple de près d’un million de foyers durant plusieurs jours.

Seul réconfort dans cette affaire de botnet IoT, il semblerait que l’infrastructure est très mal vécue la division de mirai en une multitude de botnets : cela aurait considérablement affaibli sa puissance de frappe.

De l’avis de certains experts d’Internet, il pourrait s’agir de répétitions et de tests en vue d’une cyberattaque globale qui pourrait toucher le cœur de l’Internet mondial dans le but de rendre l’ensemble du réseau inopérant. Rassurant non ?

IX. L’humiliation de Yahoo!

Yahoo! et ses rocambolesques piratages resteront sans conteste dans les annales de l’histoire informatique. Cela se déroule en plusieurs étapes, montant en crescendo.

Tout d’abord, l’apparition de 200 millions identifiants et mots de passe utilisateurs au mois d’août. Mystère absolu sur la provenance. Il faut ensuite attendre septembre pour que Yahoo confirme le vol de 500 millions de comptes utilisateurs suite à un piratage ayant eu lieu en 2014.

Le choc est déjà énorme, surtout si l’on considère la situation très délicate de Yahoo, qui est en grande difficulté financière et en pleine négociation de rachat par Verizon…

Mais le reste est a venir, avec le véritable coup de grâce au mois de décembre : Yahoo annonce officiellement le vol de plus d’un milliard de comptes clients après un piratage remontant à 2013.

Pire que ça, Yahoo annonce que les attaquants ont aussi volé des morceaux de programmes et des codes sources propriétaires, ce qui leur permet de forger des cookies d’authentification valides pour forcer n’importe quel compte utilisateur !

On ne compte plus le nombre de personne ayant définitivement fermé leur compte Yahoo et s’étant tourné vers des fournisseurs plus sécurisés et prenant au sérieux la protection de la vie privée en ligne…

X. Des millions de smartphones infectés d’usine par des backdoors chinois

L’année 2016 se termine en beauté avec la découverte par les chercheurs en sécurité de Kryptowire du malware Adups FOTA, logiciel d’origine chinoise équipant par défaut de nombreux firmwares de smartphones distribués dans le monde.

A la base censé faciliter aux fabricants le processus de mise à jour des appareils, le logiciel espion Adups FOTA s’avère être un véritable backdoor au service de la Chine : il est en effet capable de récupérer tous les SMS de l’utilisateur et permet d’exécuter n’importe quel code à distance.

Kryptowire a, dans un premier temps, détecté la porte dérobée sur les téléphones du fournisseur américain Blu. Mais les chercheurs de Trustlook expliquent avoir identifié les smartphones de 43 fabricants différents utilisant Adups FOTA, dont Archos, ZTE et Lenovo. Le New York Times avançait le nombre impressionnant de 700 millions de téléphones et autres objets connectés infectés. En parallèle, la société Adups tente de rassurer sur les possibilités restreintes de son logiciel maison dans sa dernière version.

Cela n’est pas tout puisqu’en novembre, c’est au tour des chercheurs d’Anubis Networks de mettre la main sur un logiciel de la firme chinoise Ragentek, également installé dans le firmware de près de 3 millions d’appareils. Et en décembre, l’éditeur russe Dr.Web trouve deux autres backdoors, dédiées cette fois à la fraude au clic, sur pas moins de 28 modèles d’appareils mobiles. Parmi eux, on notera la présence de deux modèles de Lenovo… Une véritable épidémie mondiale !

 

Source : 01Net

Les commentaires sont fermés.