Le FBI dit avoir fait la lumière sur le piratage massif de 500 millions de comptes annoncé par Yahoo en septembre dernier. À l’issue de l’enquête du FBI, les États-Unis ont porté plainte contre quatre Russes, deux hackers criminels et deux agents du FSB, le service fédéral de sécurité russe.
Les deux officiers du FSB, Dmitry Dokuchaev et Igor Sushchin, ont travaillé avec les deux hackers, Alexsey Belan et Karim Baratov, afin d'obtenir un accès non autorisé aux ordinateurs des fournisseurs de services de messagerie et services Internet situés dans le district nord de la Californie et ailleurs. Les hackers ont également reçu instruction de maintenir un accès à ces ordinateurs et voler des informations, y compris des informations personnelles et les communications des utilisateurs de ces services.
L'un des hackers criminels, Belan, a fait l'objet d'un mandat d'arrêt lancé par Interpol et est classé parmi les hackers le plus recherchés par le FBI depuis 2012. Belan réside en Russie, donc dans la juridiction du FSB. Mais les agents du FSB ne l'ont jamais arrêté, et l'ont plutôt utilisé. D'après le FBI, ils lui ont également fourni des renseignements qui l'auraient aidé à éviter d'être détecté par les forces de l'ordre. Il s'agirait entre autres d'informations concernant les enquêtes du FSB sur le piratage informatique et les techniques du FSB pour identifier les pirates criminels. C'est Belan qui aurait fourni aux agents du FSB l'accès non autorisé au réseau de Yahoo.
Comment ont-ils réussi à pirater Yahoo ?
Selon le FBI, le hack aurait commencé par un email de phishing envoyé à un employé « semi-privilégié » de Yahoo au début de l’année 2014. Cette brèche a permis aux hackers d'obtenir un accès non autorisé au réseau de Yahoo pour pouvoir commencer la reconnaissance du terrain. Belan a ainsi pu trouver des ressources précieuses du réseau Yahoo, y compris la base de données utilisateurs (UDB) et l’outil de gestion des comptes (AMT). La base de données contenait entre autres des informations sur les abonnés, à savoir : les noms des utilisateurs, les emails de récupération, les numéros de téléphone, les questions et réponses de sécurité, et certaines informations de sécurité cryptographique associées au compte, appelées « nonces ». L’outil de gestion de compte (AMT) était utilisé par Yahoo pour accéder et modifier les informations stockées dans l'UDB. L'AMT permettait par exemple à Yahoo de suivre les modifications apportées au compte, telles que les modifications de mot de passe.
Dans le cadre de cette intrusion, Belan a téléchargé des fichiers malveillants et des outils logiciels sur le réseau informatique de Yahoo qui ont été utilisés pour avoir et maintenir un accès permanent au réseau de Yahoo et de dissimuler cet accès. En décembre 2014, il aurait ensuite volé une copie de sauvegarde de la base de données utilisateurs de Yahoo et transféré sur son propre ordinateur, en utilisant le protocole FTP. C'est l'UDB et l'AMT qui ont permis à Belan et Karim Baratov de cibler et d'accéder aux comptes de certains utilisateurs à la demande des agents du FSB.
Une fois les comptes identifiés, les pirates ont pu utiliser des « nonces » volés pour générer des cookies d'accès grâce à un script qui avait été installé sur un serveur Yahoo. Ces cookies, qui ont été générés plusieurs fois en 2015 et 2016, donnaient aux pirates un accès libre à des comptes Yahoo sans avoir besoin de mot de passe. Sur les quelque 500 millions de comptes auxquels ils avaient potentiellement accès, ils n’ont généré que des cookies pour environ 6500 comptes.
Mais en plus d'exécuter les tâches demandées par les agents du FSB, Belan a exploité son accès au réseau de Yahoo pour s'enrichir de différentes manières. Il aurait mis en place un système de marketing en ligne, en manipulant les résultats de recherche Yahoo pour certains médicaments. Belan a aussi volé les contacts de plus de 30 millions d'utilisateurs de Yahoo dans le cadre d'un programme marketing de spam. Il a également exploité son accès au réseau de Yahoo pour rechercher des numéros de cartes de crédit et d'autres informations qui pourraient être commercialisées.
Sources : Plainte déposée par le gouvernement des États-Unis, Département US de la Justice
Les États-Unis accusent deux hackers russes et deux agents du FSB du piratage des 500 millions de comptes Yahoo
Sur la base de l'enquête du FBI
Les États-Unis accusent deux hackers russes et deux agents du FSB du piratage des 500 millions de comptes Yahoo
Sur la base de l'enquête du FBI
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !