Des médias comme TechCrunch et BuzzFeed, des chefs d’entreprise tels que Marissa Mayer (Yahoo) et Travis Kalanick (Uber), des célébrités parmi lesquelles l’actrice Lisa Schwartz et la chanteuse Janet Jackson… Ils sont autant à figurer au tableau de chasse que le collectif OurMine affiche dans la rubrique « actualités » lancée en juin dernier sur son site Web.
De nombreuses zones d’ombres demeurent à propos de ce groupe de pirates qui se dit composé de quatre membres et se range dans la catégorie des « white hats », en d’autres termes des hackers sans mauvaises intentions.
« Nous ne nous occupons que de la sécurité de vos comptes et de votre réseau », affirme effectivement OurMine, qui propose des services allant du renforcement de la protection des messageries électroniques à la recherche de vulnérabilités sur des sites et applications.
Il n’en a pas toujours été ainsi. À l’origine, les assauts que perpétrait le groupe visaient à récupérer des données. On a notamment eu droit à des attaques par déni de service (DDoS), entre autres contre des institutions financières et des acteurs de l’industrie du jeu vidéo.
L’approche a évolué ces derniers mois. OurMine se concentre désormais sur les comptes de réseaux sociaux, avec un message devenu traditionnel : « Hé, c’est OurMine, on teste simplement la sécurité de votre compte. Visitez https://ourmine.org pour l’améliorer ».
Sundar Pichai, CEO de Google, y a eu droit, tout comme Daniel Ek, cofondateur et principal dirigeant de Spotify. Jack Dorsey (Twitter) n’y a pas non plus échappé, au même titre que Mark Zuckerberg. Le patron de Facebook a vu ses comptes Twitter et Pinterest hackés au printemps.
Certains experts ayant suivi l’épisode affirment qu’OurMine exploite simplement des bases de données d’identifiants et de mots de passe vendues au marché noir. Les intéressés réfutent cette théorie, assurant que c’est une histoire de failles, parfois sur des applications tierces connectées aux services ciblés.
En juin dernier, ils assuraient que leur activité « white hat » leur avait déjà permis de récolter 16 500 dollars, à raison de 10 dollars pour le scan d’un e-mail, 30 dollars pour un compte Twitter, Facebook ou Instagram, 1 000 dollars pour un site et 5 000 dollars pour le forfait « entreprise » incluant l’analyse des comptes de tous les collaborateurs.
La dernière victime en date dans les registres d’OurMine est l’université de Stanford. Sony Music Entertainment pourrait s’y ajouter : son Twitter @SonyMusicGlobal a fait l’objet d’un piratage ce lundi.
Il était environ 14 h à Paris quand le compte a annoncé le décès « par accident » de Britney Spears. Retweetée plusieurs milliers de fois, la nouvelle a rapidement été démentie auprès de CNN.
OurMine a eu accès à au moins un autre compte lié à Sony Music Entertainment, indique ITespresso : celui de Bob Dylan (@bobdylan). La filiale de Sony n’attribue pas ouvertement le hack à OurMine, mais désigne le collectif d’un hashtag qui laisse peu de doute.
A lire aussi :
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.