Sécurité : 5 questions pour comprendre le vol de 1,2 milliard d’identifiants

Reynald Fléchaux,

Par sa volumétrie, le dernier vol de données ayant frappé pas moins de 420 000 sites dans le monde frappe les esprits. Analyse d’un événement qui a rapidement embrasé la planète médiatique mais dont de nombreux pans restent encore obscurs.

1,2 milliard de comptes utilisateurs, 500 millions d’adresses e-mail, 420 000 sites piratés. Les chiffres de la dernière affaire de vol massif de données, révélée par la société de conseil américaine Hold Security – déjà à l’origine de la divulgation de la fuite de données chez Adobe -, ont de quoi frapper les esprits. De facto, l’affaire a rapidement embrasé les médias internationaux.

Quelques jours après l’annonce de cette nouvelle fuite massive de données, Silicon.fr revient sur les enseignements de cette affaire, dont les conséquences restent à ce jour difficilement mesurables, comme l’expliquent les nombreux experts que nous avons interrogés. Le tour du sujet en 5 questions.

1) S’agit-il du vol de données le plus grave à ce jour ?

Gérôme Billois
Gérôme Billois

Tous les experts que nous avons interrogés préfèrent garder la tête froide. Même face aux chiffres affolants communiqués par Hold Security. « On assiste avant tout à une vraie campagne anxiogène. Certes, les volumes cités sont plausibles. Rien qu’en 2013, sur les 200 audits réalisés par Solucom, 99 % des sites étaient vulnérables d’une façon ou d’une autre, dont 30 % par injection SQL, la technique qui aurait été utilisée dans le cas présent. Donc voir, à l’échelle internationale, plus de 400 000 sites compromis n’est pas aberrant. Il n’en reste pas moins qu’on assiste ici à une annonce très sensationnaliste qui plus est associée à des services payants que propose l’entreprise à l’origine de l’affaire, Hold Security », relève Gérôme Billois, expert sécurité au Cercle européen de la sécurité et des systèmes d’information et senior manager en gestion des risques et sécurité chez Solucom. « Hold Security ne précise ni les sociétés ou services impactés ni le type de données collectées. Or, en fonction des informations récoltées, une fuite est plus ou moins gênante : par ordre décroissant, on peut citer les informations bancaires, les mots de passe puis les adresses emails (utilisées pour des campagnes de spams ou de phishing). À prendre en compte également : les informations concernent-elles seulement des particuliers, ou également des sociétés ? », ajoute Julien Lavesque, directeur technique chez ITrust, éditeur français d’une solution de supervision de la sécurité en mode Saas.

Reste que si les chiffres avancés par Hold Security sont valides – la réalité du piratage n’ayant été pour l’instant été confirmée que par quelques tierces personnes (dont quand même le journaliste spécialiste en sécurité Brian Krebs) – il s’agit bien là du plus important vol de données personnelles de tous les temps. « Si la fuite est confirmée, elle est incontestablement la plus importante en terme de nombre d’informations à disposition – en tout cas parmi les fuites publiques. Mais pas nécessairement la plus grave », remarque Julien Lavesque. Rappelons par exemple que le piratage de Sony, qui avait mis la société en difficulté, ne concernaient ‘que’ 24,6 millions de comptes du Playstation Network. Mais ce vol d’informations s’étendait aux données bancaires.

« C’est plus important que le ‘cas Target’ survenu en fin d’année dernière », compare de son côté Candid Wuest, chercheur spécialiste des menaces de sécurité chez Symantec, citant l’affaire qui avait secoué le géant de la distribution aux Etats-Unis. Avant de glisser : « mais la gravité d’un vol de données est toujours à mesurer aux conséquences qu’il peut avoir ». En la matière, tout le monde est à ce jour dans le brouillard, Hold Security n’ayant dévoilé aucun nom de société piratée. « Difficile dès lors de connaitre l’usage potentiel précis des données volées, mais il est probable que celles-ci permettront le vol d’identités et la fraude bancaire », avance Jean-Marc Boursat, directeur du centre de compétences risques et sécurité de Devoteam.

2) En quoi l’attaque est-elle originale ?

« Les quelques détails révélés sur l’attaque montrent que les techniques utilisées sont connues et peu originales. Cette attaque se distingue tout de même par son degré d’industrialisation dans la récolte des données », note Jean-Marc Boursat (Devoteam). De facto, la technique de pénétration utilisée par les pirates reposait sur une injection SQL, méthode bien connue et exploitable avec des outils relativement simples. « Cette technique est utilisée par les auditeurs en sécurité pour vérifier si les sites web de leurs clients sont vulnérables afin de corriger ces failles. C’est d’ailleurs malheureusement trop souvent le cas car la maturité des développeurs web et des donneurs d’ordre en matière de sécurité est généralement faible », reprend le responsable de la SSII. « Lors de nos audits, 9 fois sur 10 nous parvenons à exploiter une vulnérabilité nous permettant d’obtenir des informations », abonde Julien Lavesque (ITrust), confirmant l’ordre de grandeur déjà cité par Gérôme Billois (Solucom).

Ce dernier relève toutefois un point saillant dans le modus operandi de l’équipe de pirates russes (baptisée Cybervor par Hold) à l’origine de la moisson de données : « si le mécanisme décrit par Hold Security se confirme, l’originalité pourrait résider dans l’utilisation d’un botnet comme outil d’audit pour scanner un grand nombre de sites avec les accès des personnes touchées, explique-t-il. Les attaques par injection SQL sont certes bien connues. Tout comme on connaît des botnets intelligents comme Zeus, qui cible en particulier les sites bancaires. Là, on assisterait à une forme d’hybridation. Une fois que la personne membre à son insu du botnet est loggée, un test d’intrusion automatisé est déployé. Ce qui ouvre le champ des possibles, car cette attaque joue sur le fait que les sites sont souvent moins protégés une fois que les utilisateurs sont authentifiés. Il faut toutefois rester prudent, car on ne dispose pas d’une analyse technique détaillée pour l’instant ».

Pour Julien Lavesque, les hackers à l’origine de l’attaque se contentent de recycler des techniques bien balisées. Il note ainsi que les botnets sont utilisés depuis des années par les pirates pour répartir leurs attaques, que ce soit pour ‘miner’ des bitcoins ou pour du chantage sur des attaques DDOS (déni de service). De même, ajoute-t-il, le scan de vulnérabilités sur des milliers ou millions de machines n’est pas non plus quelque chose de nouveau : « des moteurs scannent en permanence les réseaux à la recherche de vulnérabilités ou d’informations ; on peut citer par exemple le moteur de recherche Shodan ».

3) Quels sont les risques pour les entreprises ?

Le risque principal pour une entreprise reste de voir sa base de données de clients ou d’utilisateurs piratée et détournée. Avec toutes les conséquences qui en découlent. « Il faudra alors faire face à un mécontentement bien sûr, mais également à une perte de confiance de la part des clients concernés et, selon les secteurs d’activité et les pays, devoir l’annoncer publiquement, ce qui engendre toujours un problème de réputation et a potentiellement des répercussions financières sur le moyen et le long terme », détaille Candid Wuest (Symantec). « Plus encore s’il s’agit de données à caractère personnel émanant des clients ou fournisseurs ou des données bancaires », ajoute Jean-Marc Boursat (Devoteam).

Pour Renaud Bidou, directeur technique de l’éditeur français Deny All, « les entreprises dont les mots de passe ont été volés risquent de voir les comptes associés usurpés. Dans ce schéma, les données confidentielles des utilisateurs peuvent être volées, des opérations peuvent être effectuées en lieu et place de ces derniers, ou certaines attaques lancées depuis un compte authentifié. Dans ce dernier cas, la surface d’attaque de l’application – donc les risques d’intrusion – est considérablement accrue ». C’est aussi ce que pense Julien Lavesque : selon lui, au-delà de la ré-exploitation des données récoltées pour des campagnes massives de spam, le risque de voir les pirates exploiter l’accès à des comptes e-mail pour mener des campagnes de phishing ciblé à des fins d’espionnage est bien réel.

Sans oublier un autre problème potentiel soulevé, sur son blog, par l’expert en sécurité Brian Krebs : la réutilisation des mots de passe, pratique très répandue parmi les utilisateurs. Une pratique qui peut aussi aboutir à compromettre les accès à des systèmes d’entreprise, même si les bases de données associées n’ont pas été compromises. Et Brian Krebs d’illustrer : « Si vous ré-utilisez votre mot de passe d’e-mail sur un autre site et que ce site est hacké, il y a de bonnes chances que les cyber escrocs pillent votre boîte et l’utilisent pour spammer vos amis et votre famille, diffuser des malwares et pour perpétuer la chaîne alimentaire du cybercrime. » Remarque qui vaut également pour les cadres ou dirigeants d’entreprise : qui dit que ceux-ci n’ont pas ré-exploités leur mot de passe d’entreprise sur des plates-formes grand public afin de se faciliter la vie ?

4) Comment savoir si son site est concerné ?

C’est là que les experts en sécurité que nous avons interrogés tiquent. Car, pour vérifier la compromission d’un site, Hold Security propose ses services… contre rémunération. « C’est l’aspect le plus dérangeant de la diffusion de cette information, la société Hold Security se sert de cette présumée fuite pour faire la publicité de ses services payants. En sécurité, la bonne pratique veut qu’on prévienne la société vulnérable pour qu’elle corrige cette faille avant la publication. Dans le cas présent, non seulement les informations sont parcellaires, mais en plus, le seul moyen de savoir si vous êtes concernés est de s’abonner à leur service de supervision à 120 dollars par mois », résume Julien Lavesque (ITrust).

A moins bien sûr de mener soi-même les investigations permettant 1) de vérifier si ses sites sont vulnérables aux injections SQL ; 2) de détecter si la base de données des identifiants a été exportée. « Un simple outil de scan de sécurité peut vérifier la vulnérabilité aux injections SQL. Pour aller plus loin, un audit de sécurité allant jusqu’à la vérification du code peut être réalisé pour lever tous les doutes. Enfin une surveillance des accès aux sites web par une sonde ou par une analyse des logs de la base de données peut détecter ce type d’attaque », énumère Jean-Marc Boursat (Devoteam). Pour Gérôme Billois (Solucom – Cercle européen de la sécurité et des systèmes d’information), il faut commencer par regarder les logs d’accès aux bases stockant les identifiants pour y détecter des accès massifs. « Car une fois le site infecté par injection SQL, les assaillants ont certainement récupéré l’ensemble des tables renfermant les login et mots de passe. C’est une recherche longue et complexe, d’autant que les hackers agissent depuis 7 mois selon Hold Security. »

5) Faut-il dépasser l’authentification par login/mot de passe ?

De nombreux vendeurs de solutions d’authentification ont sauté sur l’affaire pour expliquer que ce nouveau vol signait la mort des mots de passe. Une conclusion évidemment un brin hâtive, selon la plupart des experts que nous avons interrogés. « Il n’existe pas de solution magique pour remplacer le couple login/mot de passe, remarque Gérôme Billois (Solucom – Cercle européen de la sécurité et des systèmes d’information). Même si des solutions existent, comme les coffres forts de mots de passe, l’authentification à deux facteurs ou la fédération d’identités. Mais toutes présentent des inconvénients ou des limitations, notamment parce qu’il faut modifier les habitudes des utilisateurs. » Pour Jean-Marc Boursat, c’est surtout le coût de mise en œuvre de ces solutions qui s’oppose à leur généralisation. Selon lui, il faudrait plutôt insister sur la sensibilisation et la formation des utilisateurs à la manipulation des mots de passe, à leur choix et à la nécessité de les renouveler régulièrement.

DenyAll entretien Renaud Bidou sécurité messagerie banques © DenyAll
Renaud Bidou

A l’inverse, chez Symantec, Candy Wuest plaide pour une nouvelle donne : « plutôt que de blâmer les utilisateurs, il vaudrait mieux revoir la façon dont nous nous identifions ». Selon elle, une partie du chemin a été accompli grâce à la prolifération des smartphones, sur lesquels se multiplient les systèmes de double authentification (un second code à usage unique est transmis par email, SMS ou appli mobile) et, plus récemment, sont apparus les premiers systèmes d’authentification biométrique grand public (dans l’iPhone 5S). « Une double authentification permet de limiter théoriquement l’exploitation des données, à condition que l’assaillant ne soit pas en mesure de modifier le numéro de téléphone directement dans la base de données », précise Julien Lavesque (ITrust).

De son côté, Renaud Bidou (DenyAll) préfère envisager un renforcement de la sécurité au niveau de l’application Web elle-même : « L’usage d’une solution de mot de passe éphémère aurait certes permis de rendre l’attaque inutile dans la mesure où le mot de passe volé n’aurait pas pu être réutilisé. Cependant la mise en place de ce type de solution est généralement contraignante, complexe et onéreuse. La solution serait plutôt de mettre en place, au niveau de l’application, des mécanismes de protection contre les postes compromis en forçant, par exemple, le lancement d’une instance de navigateur sécurisé ».

Sur le même thème
Sécurité : des chercheurs favorables à la réutilisation des mots de passe
Une nouvelle affaire de vol de millions de mots de passe
Quiz Silicon.fr – Fuites de données, petits secrets et grands scandales