Comment vos e-mails et mots de passe se monnaient sur Internet
SÉCURITÉ
LinkedIn, Yahoo!, Dropbox, Ashley Madison… Les vols de millions d’identifiants et de mots de passe se multiplient. Derrière ces attaques se cache un marché noir où logins, données de carte bancaires et même comptes pour visionner des films se vendent pour des poignées de dollars

L’expérience est aussi sulfureuse qu’illégale. Un essai avec un premier compte e-mail, cinq essais, sans succès. Et soudain, l’accès est autorisé. Et l’on entre ainsi dans la messagerie Outlook d’un internaute espagnol, puis celle d’un russe. En quelques clics, n’importe qui peut aujourd’hui consulter les e-mails d’inconnus, qui ont pour seul tort de n’avoir pas assez protégé leur messagerie.
Il suffit pour cela de fouiller le site de partage de données www.pastebin.com. C’est là que de nombreux pirates informatiques partagent, pour quelques heures ou quelques semaines, une partie de leur butin, sous forme de gigantesques bases de données comprenant des noms, des logins, des adresses e-mail et des mots de passe.
Depuis quelques semaines, les attaques contre les géants du Web se multiplient. Il y a une semaine, Yahoo! avouait que les données de 500 millions de ses clients avait été volées en 2014. Quelques jours plus tôt, le service de stockage en ligne confessait que 68 millions d’identifiants avaient été volés en 2012. Et le vol le plus sulfureux avait eu lieu il y a un an, lorsque le site de rencontre entre personnes mariées Ashley Madison voyait les goûts de 32 millions de ses clients mis à nus sur Internet.
L’importance du darknet
Sur le darknet, partie immergée du Web, un lot de 40 000 adresses e-mail avec mot de passe se monnaie une trentaine de francs, selon la société allemande de cybersécurité G Data. Mais à quoi peuvent servir ces informations?
«Le couple login/mot de passe possède une certaine valeur. Cela permet ensuite aux pirates de pénétrer dans les comptes, pour par exemple envoyer à sa victime un «ransomware», qui bloquera son ordinateur en attendant de recevoir plusieurs centaines de francs, explique Christophe Gerber, responsable de la division cybersécurité auprès du fournisseur suisse de services IT ELCA. Le pirate peut aller plus loin encore en découvrant l’adresse de sa victime, le nombre de ses enfants, sa date de naissance, le nom de son chien, etc. Ces informations précieuses permettront au pirate de se faire passer pour sa victime en effectuant ensuite des transferts d’argent».
Car encore en 2016, il est possible pour des pirates de tromper banques et émetteurs de cartes de crédit. «Tant qu’il reste des magasins en ligne qui n’utilisent pas tous les systèmes de sécurité, les pirates pourront gagner de l’argent, affirme Philippe Oechslin, directeur de la société Objectif Sécurité à Gland (VD). S’ils ne trouvent pas de failles techniques, ils peuvent toujours tenter d’utiliser les informations pour faire de l’ingénierie sociale, par exemple en envoyant par la poste de faux ordres de versement ou de fausses factures.»
Selon le spécialiste, «les possibilités d’anonymisation des communications et des paiements – via le darknet et le bitcoin pour les paiements –, facilitent le travail des criminels qui veulent gagner de l’argent en ne prenant que peu de risques». Récemment, un pirate a mis en vente 200 millions de données de comptes Yahoo! pour 3 bitcoins, soit environ 1900 francs.
Virements par petites sommes
Aujourd’hui, des données complètes d’une carte de crédit d’une victime basée en Europe valent environ 40 francs sur le darknet. «Les pirates sont assez malins pour agir sans que la victime n’ait des doutes, en effectuant des virements de petites sommes, sachant que peu de monde vérifie ses relevés de cartes de crédit, avance Christophe Gerber. Pour recevoir l’argent, les pirates créent des comptes de transit éphémères: le temps d’essayer de les localiser, ils ont disparu et leurs dernières traces se trouvent dans des pays aux juridictions peu coopérantes».
Savoir qui se cache derrière ces attaques est extrêmement difficile. Pour Ashley Madison, un collectif de hackers à but autoproclamé éthique, The Impact Team, avait revendiqué l’attaque. Il y a une semaine, Yahoo! pointait du doigt un acteur étatique, sans donner aucune précision. Et cet été, apparemment l’un des plus grands hackers, se faisant appeler «Peace_of_mind» ou «Peace», revendiquait, dans une interview accordée à «Wired», le piratage de LinkedIn, MySpace ou encore Tumblr.
Tentatives de chantage
«De nombreux pirates sont payés par des Etats ou par des concurrents, explique Rolf Haas, spécialiste en sécurité informatique chez McAfee/Intel. Les pertes de données massives sont surtout le fait de petits groupes qui tentent d’extorquer de l’argent aux entreprises qu’ils attaquent. Ils les font chanter ou revendent leurs informations sur le darknet». Selon le spécialiste, les organisations, gouvernementales ou non, qui achètent ensuite ces masses de données en profitent pour obtenir des informations sur des individus qui les intéressent.
Il y a aussi des hackers «collectionneurs». L’un d’eux expliquait en juin au site spécialisé «Motherboard» détenir sur ses ordinateurs plus d’un milliard de lignes, c’est-à-dire de données, volées. Pas forcément pour s’en servir, surtout pour le plaisir de compiler des données personnelles échangées avec d’autres pirates.
Vérification en ligne
A priori, la plupart des pirates semblent être originaires de Russie. «C’est une probabilité, mais pas une certitude, tempère Christophe Gerber. Car souvent, les pirates tentent de cacher leurs traces via des réseaux implantés à l’est, sans qu’ils y soient présents physiquement.»
Les internautes ne sont pas totalement démunis face à ces attaques. Il y a des règles de base à respecter (lire ci-dessous). Mais il y a aussi des sites Web qui offrent leurs services. Ainsi, le site haveibeenpwned.com affirme détenir, sur ses serveurs, plus de 1,4 milliard de données de comptes piratés. Il permet à des internautes de vérifier si leurs données sont ainsi compromises.
«Cela permet de vous donner idée pour savoir si votre adresse e-mail et vos données ont été attaquées. Il faut aussi changer ses mots de passe régulièrement», explique Rolf Haas. Christophe Gerber appelle quant à lui à la prudence: «Si certains de ces sites sont honnêtes, d’autres en profitent peut-être pour siphonner les données des internautes», avertit le spécialiste d’ELCA.
Des conseils pour se protéger
Bien sûr, les internautes ne peuvent empêcher Yahoo! ou Twitter de se faire dérober leurs données. Mais une fois celles-ci dans la nature, l’internaute peut se protéger. Avant tout via les mots de passe utilisés dans ses multiples comptes. Il est important de n’utiliser un mot de passe qu’avec un seul compte. Sinon, un pirate pourra accéder à plusieurs comptes avec le même mot de passe. Il faut aussi modifier régulièrement ses mots de passe.
Mais aussi les rendre leur découverte difficile, en effectuant un mélange entre lettres majuscules, minuscules, chiffres voire caractères spéciaux. Pour s’y retrouver, un gestionnaire de mot de passe peut être une bonne idée. Il en existe des centaines, dont LastPass, Keeper, Dashlane ou encore 1Password.
Il est aussi intelligent d’utiliser, lorsque le service le permet, une authentification en deux étapes, la première par mot de passe, la deuxième par chiffre envoyé par SMS, par exemple. Gmail (Google), Microsoft ou Facebook le permettent, par exemple. La connexion prend certes un peu plus de temps, mais la sécurité est ainsi grandement améliorée.
Il est aussi recommandé de garder ses systèmes à jour, pour éviter des attaques ciblées: les applications et le système d’exploitation sur smartphone, les navigateurs et les logiciels sur ordinateurs, doivent en permanence être à jour.