Le Federal Bureau of Investigation (FBI) a confirmé que son nom de domaine fbi.gov et son adresse Internet ont été utilisés pour envoyer des milliers de faux courriels concernant une enquête sur la cybercriminalité. Selon une interview avec la personne qui a revendiqué la responsabilité du canular, les messages de spam ont été envoyés en abusant d'un code non sécurisé dans un portail en ligne du FBI conçu pour partager des informations avec les autorités nationales et locales chargées de l'application des lois.Un hacker a accédé au système de messagerie du FBI et a envoyé du spam à 100 000 comptes samedi, selon le projet Spamhaus, un groupe de surveillance du spam. L'organisation a publié sur Twitter un exemple d'un des e-mails envoyés à des milliers de comptes. L'e-mail porte le sujet « Urgent : acteur de la menace dans les systèmes » et prétend provenir d'une division de cybersécurité du Department of Homeland Security.
L'e-mail prétend avertir les destinataires d'une « exfiltration » potentielle des données de leurs systèmes par l'expert en cybersécurité Vinny Troia et le groupe de cybercriminels The Dark Overlord. En réalité, Troia est un éminent chercheur en cybersécurité qui dirige deux sociétés de sécurité sur le dark web : NightLion et Shadowbyte.
Le hacker a réussi à envoyer des e-mails à plus de 100 000 adresses, qui ont toutes été extraites de la base de données ARIN (American Registry for Internet Numbers).
Spamhaus a déclaré :
« Nous avons été mis au courant d'e-mails "effrayants" envoyés au cours des dernières heures qui prétendent provenir du FBI/DHS. Bien que les e-mails soient effectivement envoyés depuis une infrastructure appartenant au FBI/DHS (le portail LEEP), nos recherches montrent que ces e-mails sont faux. Ces faux e-mails d'avertissement sont apparemment envoyés à des adresses extraites de la base de données ARIN. Ils causent beaucoup de perturbations parce que les en-têtes sont réels, ils proviennent vraiment de l'infrastructure du FBI. Ils n'ont pas de nom ou d'informations de contact dans le .sig. S'il vous plaît méfiez-vous ! »
Bien que le matériel affecté par l'incident « ait été mis hors ligne rapidement dès la découverte du problème », a déclaré le FBI, « il s'agit d'une situation continue » :
« Le FBI et la CISA [la Cybersecurity and Infrastructure Security Agency] sont au courant de l'incident de ce matin impliquant de faux e-mails provenant d'un compte de messagerie @ic.fbi.gov », lit-on dans le communiqué du FBI. « Il s'agit d'une situation continue et nous ne sommes pas en mesure de fournir des informations supplémentaires pour le moment. Le matériel concerné a été mis hors ligne rapidement dès la découverte du problème. Nous continuons d'encourager le public à se méfier des expéditeurs inconnus et nous vous exhortons à signaler toute activité suspecte à www.ic3.gov ou www.cisa.gov ».
Le chercheur en cybersécurité Kevin Beaumont atteste également de l'apparence légitime de l'e-mail, déclarant que les en-têtes sont authentifiés comme provenant des serveurs du FBI à l'aide du processus DKIM (Domain Keys Identified Mail) qui fait partie du système utilisé par Gmail pour coller les logos de la marque sur les e-mails d'entreprise vérifiés.
Un examen des en-têtes de message de l'e-mail a indiqué qu'il avait bien été envoyé par le FBI et à partir de la propre adresse Internet de l'agence. Le domaine dans la partie « de : » de l'e-mail que vous pouvez voir (eims@ic.fbi.gov) correspond à la division des services d'information sur la justice pénale (CJIS - Criminal Justice Information Services) du FBI.
Selon le ministère de la Justice :
« Le CJIS gère et exploite plusieurs systèmes nationaux d'information sur la criminalité utilisés par la communauté de la sécurité publique à des fins criminelles et civiles. Les systèmes CJIS sont à la disposition de la communauté de la justice pénale, y compris les forces de l'ordre, les prisons, les procureurs, les tribunaux, ainsi que les services de probation et de mise en état. Les systèmes CJIS sont également disponibles pour les agences de justice non pénale à des fins civiles spécifiquement autorisées, telles que le dépistage du placement d'enfants, l'emploi, le logement et l'octroi de licences.
Des agences à travers les États-Unis soumettent des informations aux systèmes CJIS et obtiennent des informations de ces derniers. Cet échange d'informations est essentiel à la sécurité publique. Le Federal Bureau of Investigation (FBI) maintient les systèmes hôtes et fournit un réseau de télécommunications à un CSA dans chacun des 50 États, le District de Columbia, les territoires, le Canada et les agences fédérales, y compris le DOJ. Les CSA donnent accès aux systèmes CJIS ainsi qu'aux Nlets ».
Un code non sécurisé
Selon une interview avec la personne qui a revendiqué la responsabilité du canular, et qui répond au pseudonyme Pompompurin sur Twitter, les messages de spam ont été envoyés en abusant d'un code non sécurisé dans un portail en ligne du FBI conçu pour partager des informations avec les autorités nationales et locales chargées de l'application des lois.
Dans une interview, Pompompurin a déclaré que le piratage avait été fait pour souligner une vulnérabilité flagrante dans le système du FBI :
« J'aurais pu utiliser cela à 1000 % pour envoyer des e-mails plus légitimes, inciter les entreprises à transmettre des données, etc. », a déclaré Pompompurin. « Et cela n'aurait jamais été trouvé par quiconque aurait divulgué de manière responsable, en raison de l'avis que les autorités ont publié sur leur site Web ».
Pompompurin dit que l'accès illicite au système de messagerie du FBI a commencé par une exploration de son portail d'entreprise d'application de la loi (LEEP - Law Enforcement Enterprise Portal), que le bureau décrit comme « une passerelle permettant aux organismes chargés de l'application de la loi, aux groupes de renseignement et aux entités de justice pénale d'accéder à des ressources utiles ».
« Ces ressources renforceront le développement de cas pour les enquêteurs, amélioreront le partage d'informations entre les agences et seront accessibles dans un emplacement centralisé ! », s'enthousiasme le site du FBI.
Jusqu'à samedi matin, le portail LEEP permettait à n'importe qui de demander un compte. Des instructions détaillées pour l'enregistrement d'un nouveau compte sur le portail LEEP sont également disponibles sur le site Web du DOJ. Il convient de noter que « l'étape 1 » de ces instructions consiste à visiter le site dans Internet Explorer de Microsoft, un navigateur Web obsolète que même Microsoft n'encourage plus les gens à utiliser pour des raisons de sécurité.
Une grande partie de ce processus consiste à remplir des formulaires avec les informations personnelles et de contact du demandeur, ainsi que celles de son organisation. Une étape critique de ce processus indique que les candidats recevront une confirmation par e-mail de eims@ic.fbi.gov avec un code d'accès à usage unique (apparemment pour valider que le candidat peut recevoir des e-mails sur le domaine en question).
Mais selon Pompompurin, le propre site Web du FBI a divulgué ce mot de passe à usage unique dans le code HTML de la page Web.
Pompompurin a déclaré avoir pu s'envoyer...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
