Un groupe de pirates informatiques russes s'est emparé d'environ 1,2 milliard de mots de passe et adresses e-mail sur internet de sociétés américaines et étrangères à travers le monde, a révélé le "New York Times" mardi. Les pirates ont mis la main sur les noms d'utilisateurs et les codes d'accès de quelque 420'000 sites internet.
Le grand quotidien américain cite les affirmations de la société spécialisée en sécurité informatique Hold Security. Il s'agit de sites internet de tout type et de toute taille. Les pirates auraient réussi à avoir accès à quelque 500 millions de comptes e-mail.
Cette intrusion est partie d'un groupe de pirates basés en Russie, quelque part entre le Kazakhstan et la Mongolie. Selon le "Times", les pirates, des hommes âgés d'une vingtaine d'années, ne seraient pas plus d'une douzaine.
Cette opération d'envergure aurait duré plusieurs mois entre 2013 et 2014, selon l'entreprise qui a déjà révélé plusieurs opérations cybercriminelles. Comme celle ayant touché l'éditeur de logiciels Adobe à l'automne dernier concernant le vol de données personnelles et bancaires de près de 3 millions de personnes.
Pour l'instant, il n'y a aucune information que des entreprises ou personnes privées aient été touchées en Suisse, selon la Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI, interrogée mercredi par l'ats. Des vérifications sont en cours.
La plus grosse opération
"Si elle est avérée, ce serait la plus grosse opération de compilation de données volées", relève Loïc Guezo, directeur stratégie de la société de sécurité informatique Trend Micro pour l'Europe du sud.
"C'est une attaque relativement simple, mais intéressante par son ampleur et sa méthode structurée, qui a utilisé des ordinateurs infectés pour tester la vulnérabilité de sites internet. C'est assez peu courant, la technique est fine", résume-t-il à l'AFP.
La plupart du temps, les cybercriminels ont dans le viseur une cible précise, comme une entreprise dont ils vont chercher les failles, alors que dans le cas présent ils ont commencé par infecter des ordinateurs de particuliers qu'ils ont mis en réseau (ce qu'on appelle un "botnet").
"Ces ordinateurs étaient alors missionnés par un logiciel malveillant pour tester si les sites internet visités par les utilisateurs comportaient des failles. Si c'était le cas, des attaques unitaires étaient alors menées. Il n'y avait donc pas de cible déterminée au départ, tout s'est fait au hasard de la navigation des ordinateurs infectés", souligne M. Guezo.
"Comme tester les portières de voitures"
"C'est comme tester les portières de toutes les voitures sur un parking, et voir lesquelles ne sont pas fermées à clé", renchérit Gérôme Billois, expert du cabinet Solucom.
Les sites ayant montré des failles ont ensuite été attaqués via la technique de l'"injection SQL" (pour "Structured Query Language", langage structuré de requête). "Quelque chose de très classique qui permet de siphonner des bases de données sans être repéré", précise M. Billois. Environ 30% des sites internet sont vulnérables à ce type d'attaque.
"On n'est donc pas non plus sur un niveau d'attaque de type 'services de renseignement' ou 'agence d'intelligence économique'", souligne-t-il.
Que faire des données?
Reste maintenant à savoir ce que vont faire les pirates de l'énorme masse de données récoltée: "ils peuvent les utiliser eux-mêmes pour des opérations malveillantes ou les mettre en vente sur le marché noir. Mais il y a certainement beaucoup de déchets dans ce qu'ils ont récupéré et ils vont se concentrer sur les mots de passe actifs", estime M. Guezo.
"Une fois qu'on a le 'login' et le mot de passe d'une personne, on peut récupérer des infos très personnelles comme l'historique des achats, des discussions sur des forums, des photos, des adresses du domicile, ce qui fait augmenter la qualité de la fraude ensuite.