LinkedIn, Yahoo !, Dropbox, Ashley Madison… Les vols de millions d’identifiants et de mots de passe se multiplient. Derrière ces attaques se cache un marché noir où logins, données de carte bancaires et même comptes pour visionner des films se vendent pour des poignées de dollars

L’expérience est aussi sulfureuse qu’illégale. Un essai avec un premier compte e-mail, cinq essais, sans succès. Et soudain, l’accès est autorisé. Et l’on entre ainsi dans la messagerie Outlook d’un internaute espagnol, puis celle d’un russe. En quelques clics, n’importe qui peut aujourd’hui consulter les e-mails d’inconnus, qui ont pour seul tort de n’avoir pas assez protégé leur messagerie.

Il suffit pour cela de fouiller le site de partage de données www.pastebin.com. C’est là que de nombreux pirates informatiques partagent, pour quelques heures ou quelques semaines, une partie de leur butin, sous forme de gigantesques bases de données comprenant des noms, des logins, des adresses e-mail et des mots de passe.

Depuis quelques semaines, les attaques contre les géants du web se multiplient. Il y a une semaine, Yahoo ! avouait que les données de 500 millions de ses clients avait été volées en 2014. Quelques jours plus tôt, le service de stockage en ligne confessait que 68 millions d’identifiants avaient été volés en 2012. Et le vol le plus sulfureux avait eu lieu il y a un an, lorsque le site de rencontre entre personnes mariées Ashley Madison voyait les goûts de 32 millions de ses clients mis à nus sur Internet.

L’importance du darknet

Sur le darknet, partie immergée du Web, un lot de 40 000 adresses e-mail avec mot de passe se monnaie une trentaine de francs (27€), selon la société allemande de cybersécurité G Data. Mais à quoi peuvent servir ces informations ?

« Le couple login/mot de passe possède une certaine valeur. Cela permet ensuite aux pirates de pénétrer dans les comptes, pour par exemple envoyer à sa victime un « ransomware », qui bloquera son ordinateur en attendant de recevoir plusieurs centaines de francs, explique Christophe Gerber, responsable de la division cybersécurité auprès du fournisseur suisse de services IT ELCA. Le pirate peut aller plus loin encore en découvrant l’adresse de sa victime, le nombre de ses enfants, sa date de naissance, le nom de son chien, etc. Ces informations précieuses permettront au pirate de se faire passer pour sa victime en effectuant ensuite des transferts d’argent ».

Car encore en 2016, il est possible pour des pirates de tromper banques et émetteurs de cartes de crédit. « Tant qu’il reste de magasins en ligne qui n’utilisent pas tous les systèmes de sécurité, les pirates pourront gagner de l’argent, affirme Philippe Oechslin, directeur de la société Objectif Sécurité à Gland (VD). S’ils ne trouvent pas de failles techniques, ils peuvent toujours tenter d’utiliser les informations pour faire de l’ingénierie sociale, par exemple en envoyant par la poste de faux ordres de versement ou de fausses factures ».

Selon le spécialiste, « les possibilités d’anonymisation des communications et des paiements – via le darknet et le bitcoin pour les paiements –, facilitent le travail des criminels qui veulent gagner de l’argent en ne prenant que peu de risques ». Récemment, un pirate a mis en vente 200 millions de données de comptes Yahoo ! pour 3 bitcoins, soit environ 1 900 francs (1 740€).

Lire la suite de l’article sur letemps.ch

Capitalisme, profit et sauvagerie sur Kontre Kulture