Google enquête sur les attaques manuelles ciblées des comptes

Les attaques manuelles ou « manual hijacking » sont souvent l’oeuvre de semi-professionnels prêts à passer plusieurs heures par jour à exploiter les comptes de messagerie de leurs victimes.

Pour pirater les comptes de messagerie d’internautes, les hackers utilisent essentiellement deux sortes d’attaques : les attaques automatisées massives, qui s’appuient sur des réseaux de terminaux infectés (botnets), et les attaques manuelles ciblées. Google fait le point sur ces dernières dans une étude rendue publique cette semaine.

Des « hijackers » en voie de professionnalisation

14 jeux de données distincts collectés entre 2011 et 2014 ont été examinés dans le cadre de l’étude menée par des chercheurs de Google et de l’Université de Californie, San Diego. Premier constat, l’attaque manuelle ciblée est souvent l’oeuvre de pirates informatiques semi-professionnels. Conscients des gains que peut leur rapporter une prise de choix, ils passent un temps « considérable » à exploiter le compte d’une seule victime.

Qualifiées de « manual hijacking » par Google, ces attaques sont rares (9 incidents de ce type par million d’utilisateurs et par jour), mais les pertes financières peuvent être importantes. Le phishing ou hameçonnage, qui consiste à transmettre des courriels renvoyant vers un site web frauduleux pour obtenir identifiants et autres informations personnelles, est couramment employé.

Des comptes piratés accessibles dans la demi-heure

Les internautes pensent, dans leur majorité, ne pas se laisser berner par le phishing. Mais 14% des visiteurs de sites illicites classiques fournissent des informations personnelles. Ce taux passe à 45% pour les sites les plus convaincants (la copie frauduleuse d’une page web d’un site à large audience par exemple), mais tombe à 3% pour les sites visiblement contrefaits.

Autre enseignement de l’étude, près de 20% des comptes piratés sont accessibles dans les 30 minutes après qu’un pirate a obtenu les identifiants de connexion… Une fois que les hackers accèdent au compte de leur choix, ils passent plus de 20 minutes en moyenne à l’étudier et changent régulièrement de mots de passe pour en éloigner le véritable propriétaire. Ils cherchent également à obtenir plus de détails pour accéder à d’autres services utilisés par la personne concernée (des réseaux sociaux aux comptes bancaires) et escroquer de nouvelles victimes. Or, les contacts d’un compte piraté sont 36 fois plus susceptibles d’être eux-mêmes victimes de piratage…

La gestion du risque

Selon le Washington Post, Google aurait hésité à publier son étude. Celle-ci donne une nouvelle occasion aux hackers ou « hijackers » informatiques d’ajuster leur tactique pour mieux contourner la vigilance du public et les mesures de sécurité préconisées par l’industrie. Mais la firme de Mountain View a préféré opter pour « la transparence » afin d’amener un plus grand nombre d’utilisateurs à protéger leurs comptes par une authentification à deux facteurs.

Lire aussi : Authentification forte : l’alliance FIDO certifie une nouvelle vague d’experts