Bitdefender piraté et rançonné

Bitdefender est formel : le piratage informatique perpétré fin juillet contre l’un de ses serveurs est dû à une erreur humaine.

Le blog spécialisé Hacker Film retrace la chronologie des événements à l’appui de pièces à conviction communiquées par une source dite « proche du dossier ». Les premiers signaux sont repérés le vendredi 24 juillet sur Twitter : sous le pseudonyme DetoxRansome, un individu dit s’être introduit dans le réseau de Bitdefender.

Après quelques tweets adressés à l’éditeur sur le ton de l’ironie (« Vous êtes sûr d’avoir un programme de recherche de failles de sécurité en interne ? »), le pirate joue carte sur table : il demande 15 000 dollars, sans quoi il « dévoilera la base clients » de Bitdefender.

Pour appuyer sa demande, DetoxRansome* publie les données d’authentification de deux employés et d’un client. Bitdefender ne bronchera pas officiellement avant le 27 juillet, date à laquelle l’équipe d’assistance technique envoie un tweet – supprimé depuis – comme si elle avait affaire à un client « classique ».

Un chantage savamment orchestré

Entretemps, DetoxRansome a renchéri : le 25 juillet, il a publié, sur Pastee, une annonce pour vendre, au plus offrant, « l’accès à tous les noms d’utilisateurs et les mots de passe associés pour les principaux produits Bitdefender ». Le tout accompagné d’un échantillon d’environ 250 comptes, dont un grand nombre effectivement actifs.

Pour faire monter les enchères, DetoxRansome commence à exploiter quelques-unes des données qu’il a récupérées. Les nombreuses captures d’écran réalisées par ses soins le montrent en train de contrôler les tableaux d’administration de plusieurs entreprises.

A l’origine de ce hack, une simple technique de « sniffing », c’est-à-dire l’interception de paquets transmis sur le réseau. Une version ni confirmée, ni infirmée par Bitdefender, qui annonce que seule sa clientèle PME a été touchée, et à hauteur de « moins de 1 % des comptes ».

Changement de mots de passe recommandé

Les clients concernés ont été invités à changer de mot de passe avant de pouvoir accéder à nouveau à leur espace d’administration. DetoxRansome maintient avoir piraté « bien plus qu’un serveur », Bitdefender a lancé une enquête pour déterminer si d’autres points du réseau ont effectivement été touchés, explique ITespresso.

Mais dans l’état actuel, l’éditeur estime que le serveur affecté est une exception : il avait été, dans le cadre d’une montée en version de l’infrastructure, mis à jour avec un logiciel ancien contenant une faille connue… qui a permis le vol de données.

* DetoxRansome se vante aussi, sur Twitter, d’avoir hacké les marques de prêt-à-porter Fendi et Louis Vuitton. Il propose également, à la vente, un botnet exploitant Tor pour voler des bitcoins.