FSB et hackers unis pour pirater Yahoo : les 6 points clefs à retenir

La justice américaine accuse les renseignements russes de collusion avec des cybercriminels dans le piratage de Yahoo. Et pointe leur volonté d’étendre leurs cyberattaques à d’autres prestataires.

La lecture de l’acte d’accusation publié hier par la justice américaine, suite à l’enquête du FBI sur le hack de Yahoo en 2014, ressemble à un roman de John Le Carré. Bien-sûr, il est encore tôt pour affirmer que les quatre individus pointés du doigt (deux officiers du FSB, Dmitry Dokuchaev et Igor Sushchin, et deux hackers, le Russe Alexsey Belan et la Canadien Karim Baratov) sont bien responsables des faits qui leur sont reprochés, mais la précision des charges qui pèsent sur eux montre toutefois que les enquêteurs détiennent des éléments solides.

S’il s’agit là de la première mise en accusation d’officiers du FSB (l’héritier du KGB) par la justice américaine et de la seconde affaire de ce type outre-Atlantique (Washington avait déjà inculpé 5 militaires chinois pour des faits de piratage), l’affaire confirme surtout plusieurs pratiques fréquemment dénoncées par les experts. Voici les 6 éléments à retenir de l’affaire :

1 – La collusion entre le FSB et le cybercrime

Alexsey_BelanC’est un point central de l’acte d’accusation. Les officiers du FSB (Federal Security Service) ont « protégé, dirigé, facilité et payé des hackers criminels pour collecter des données via des intrusions informatiques ». Un des deux hackers suspectés, Alexsey Belan (alias Magg), était ainsi visé par un mandat d’arrêt international d’Interpol (notice rouge), ce qui aurait dû conduire la Russie à le mettre en détention et à l’extrader. « Au lieu de quoi, les officiers du FSB l’ont utilisé. Ils lui ont aussi fourni des informations sensibles sur les techniques d’enquête afin de l’aider à échapper à la détection du FSB », écrit la justice US. Si rien dans l’acte d’accusation ne permet de décrire les relations entre Belan et ses officiers traitant du FSB, il faut noter que la notice rouge d’Interpol ainsi que son inscription depuis 2012 sur le registre des hackers les plus recherchés par le FBI donnaient aux renseignements russes de solides arguments pour recruter le pirate.

2 – Yahoo compromis dans les grandes largeurs

L’acte d’accusation n’indique pas comment le réseau de Yahoo a été compromis. On apprend simplement que le vol de données relatives à 500 millions de comptes faisait partie « d’une intrusion plus large » du réseau du prestataire de webmail, intrusion qui a démarré en 2014 ou avant et s’est étalé au moins jusqu’en septembre 2016. Les hackers employés par le FSB avaient déployé des outils afin de conserver l’accès au réseau du portail Internet. C’est via cet accès que les pirates ont téléchargé (via FTP) une version de la base de données utilisateurs (UDB, pour User Database) renfermant les noms d’utilisateurs, les e-mails de récupération, les numéros de téléphone, les questions de récupération des mots de passe (et les réponses associées) et le nonce utilisé lors de l’authentification (l’emploi de ce nombre arbitraire est censé empêcher les attaques par rejeu). Au-delà de cette copie de la base de données, les cybercriminels ont aussi eu accès à AMT (Account Management Tool), l’outil permettant à Yahoo d’accéder et de gérer les informations stockées dans UDB. Bref, le joyau de la couronne de l’activité webmail de la société californienne.

3 – L’exploitation : espionnage… et cybercrime

Ces informations en main, les hackers ont commencé rapidement l’exploitation des failles qu’ils se sont ménagés dans le réseau Yahoo. L’acte d’accusation montre que les motivations du FSB visaient clairement à compromettre les comptes de cibles clairement identifiées, et repérées dans la base UDB. Pour ce faire, les hackers ont forgé des cookies, en exploitant les nonces cryptographiques récupérés lors du vol de données afin de se faire passer pour les utilisateurs légitimes des comptes qu’ils ciblaient. A l’appui de ses affirmations, la justice américaine dit détenir un mail échangé entre les officiers du FSB, expliquant comment utiliser un utilitaire spécifique pour forger les cookies Yahoo. Les pirates sont également accusés d’avoir utilisé des cookies contrefaits à l’intérieur même du réseau de Yahoo, probablement pour se ménager un accès à d’autres systèmes du prestataire américain. « Les cookies forgés tant pour l’interne que pour l’externe ont permis aux conspirateurs d’apparaître aux serveurs Yahoo comme les possesseurs légitimes des comptes, sans avoir besoin d’entrer un nom d’utilisateur et un mot de passe pour accéder au compte en question », résume l’acte d’accusation. Au total, 6 500 comptes Yahoo auraient été ciblés via cette technique de contrefaçon de cookies.

Notons au passage que l’accès à AMT que se sont ménagés les hackers joue un rôle clef dans l’identification des cibles. « En combinant leur contrôle de la base UDB volée et leur accès à AMT, les conspirateurs pouvaient, par exemple, rechercher dans UDB des comptes Yahoo pour lesquels les utilisateurs avaient fourni un e-mail de récupération hébergé par une entreprise ciblée par les conspirateurs […] et, ensuite, utiliser les informations d’AMT pour se ménager un accès non autorisé aux comptes ainsi identifiés », via les cookies forgés. Parmi les cibles des officiers du FSB, selon la justice américaine : des journalistes russes, des financiers, quelques responsables d’entreprises américaines, des officiels de pays voisins de la Russie, mais aussi le directeur technique d’une entreprise de transport française, non précisée. Signalons que les hackers pilotés par le FSB auraient aussi visé des employés d’autres prestataires disposant de comptes chez Yahoo. L’acte d’accusation mentionne ainsi trois salariés d’une entreprise de Cloud américaine et le dirigeant d’un FAI et fournisseur de webmail russe.

4 – Pendant l’espionnage, les affaires continuent

Si l’opération semble avoir été pilotée par le FSB à des fins d’espionnage de cibles bien précises, Alexsey Belan semble en avoir profité pour mener à bien quelques affaires plus personnelles et très lucratives. Il est ainsi parvenu à détourner le moteur de recherche anglophone de Yahoo pour afficher un lien frauduleux renvoyant vers une pharmacie online. Engrangeant au passage des commissions. Le même Belan se serait également servi de ses accès aux systèmes de Yahoo pour construire une gigantesque base de données pour spammeurs. Pour ce faire, le pirate russe a forgé en masse pas moins de 30 millions de cookies, lui ménageant un accès à autant de comptes. Ce qui lui a permis de récupérer les contacts de ces comptes piratés et de constituer une base de données d’e-mails, dont le volume n’est toutefois pas précisé dans l’acte d’accusation.

5 – Ne pas se limiter au seul Yahoo

Comme le montre le ciblage du FAI russe et du prestataire de Cloud américain, le FSB aurait vu son piratage de Yahoo comme un levier pour compromettre des comptes tiers, situés chez d’autres prestataires. Comment ? En examinant la liste des comptes mails de récupération laissés par les utilisateurs jugés intéressants. En cherchant, dans l’historique des courriels Yahoo, d’éventuels mots de passe liés à des comptes chez d’autres prestataires comme Google ou Apple. En exploitant du spearphishing, pour pousser les utilisateurs légitimes de ces comptes à dévoiler leur mot de passe. Au total, au moins 80 comptes ont ainsi été compromis, dont au moins 50 chez Gmail. Parmi les victimes, un dirigeant, un ancien responsable des ventes et un chercheur d’une « entreprise russe de cyber-sécurité majeure », dont le nom n’est pas précisé (même si son identité laisse peu de place aux doutes). Pour chacun de ces piratages, Karim Baratov, le hacker canadien qui semble avoir été préposé à ces opérations, recevait, après avoir produit la preuve de ses succès, environ 100 dollars américains.

6 – Le premier cyber-agent double ?

Dmitry_DokuchaevSi Dmitry Dokuchaev, l’un des deux officiers du FSB ciblés, fait donc l’objet d’un mandat du FBI, il est déjà détenu dans son pays pour… trahison. Dévoilée par les médias russes en janvier, cette arrestation de l’officier du FSB, aux côtés du responsable de l’Information Security Center des mêmes services de renseignement (Sergei Mikhailov), d’un employé de Kaspersky (Ruslan Stoyanov) et de trois autres personnes, a soulevé pas mal de questions. Certaines des personnes détenues étant accusées de trahison. Selon des média proches du Kremlin, l’affaire serait liée à une enquête officielle du FSB sur un groupe de hackers appelé Shaltai Boltai. Ses membres auraient été identifiés, mais plutôt que de procéder à leur arrestation, les officiers des services de renseignement auraient décidé de les utiliser à des fins politiques et afin de s’enrichir. La publication par un site ukrainien des mails d’un proche conseiller de Vladimir Poutine aurait poussé le pouvoir à enquêter sur les agissements du groupe de hackers, mettant au jour ses liens avec des officiers du FSB. D’autres sources anonymes, citées par l’agence de presse russe Interfax, expliquent que les deux officiers du FSB arrêtés travaillaient… pour la CIA. Ils pourraient avoir renseigné les Etats-Unis sur l’implication russe dans les piratages qui ont émaillé la dernière campagne présidentielle outre-Atlantique.

A lire aussi :

Yahoo : les données volées ont servi à fabriquer de faux cookies

Fuite de données Yahoo : pourquoi les spécialistes tombent des nues

Piratage de Yahoo : les données sont à vendre depuis août 2016

Photo via Visual hunt