Le Federal Bureau of Investigation (FBI) a confirmé que son nom de domaine fbi.gov et son adresse Internet ont été utilisés pour envoyer des milliers de faux courriels concernant une enquête sur la cybercriminalité. Selon une interview avec la personne qui a revendiqué la responsabilité du canular, les messages de spam ont été envoyés en abusant d'un code non sécurisé dans un portail en ligne du FBI conçu pour partager des informations avec les autorités nationales et locales chargées de l'application des lois.Un hacker a accédé au système de messagerie du FBI et a envoyé du spam à 100 000 comptes samedi, selon le projet Spamhaus, un groupe de surveillance du spam. L'organisation a publié sur Twitter un exemple d'un des e-mails envoyés à des milliers de comptes. L'e-mail porte le sujet « Urgent : acteur de la menace dans les systèmes » et prétend provenir d'une division de cybersécurité du Department of Homeland Security.
L'e-mail prétend avertir les destinataires d'une « exfiltration » potentielle des données de leurs systèmes par l'expert en cybersécurité Vinny Troia et le groupe de cybercriminels The Dark Overlord. En réalité, Troia est un éminent chercheur en cybersécurité qui dirige deux sociétés de sécurité sur le dark web : NightLion et Shadowbyte.
Le hacker a réussi à envoyer des e-mails à plus de 100 000 adresses, qui ont toutes été extraites de la base de données ARIN (American Registry for Internet Numbers).
Spamhaus a déclaré :
« Nous avons été mis au courant d'e-mails "effrayants" envoyés au cours des dernières heures qui prétendent provenir du FBI/DHS. Bien que les e-mails soient effectivement envoyés depuis une infrastructure appartenant au FBI/DHS (le portail LEEP), nos recherches montrent que ces e-mails sont faux. Ces faux e-mails d'avertissement sont apparemment envoyés à des adresses extraites de la base de données ARIN. Ils causent beaucoup de perturbations parce que les en-têtes sont réels, ils proviennent vraiment de l'infrastructure du FBI. Ils n'ont pas de nom ou d'informations de contact dans le .sig. S'il vous plaît méfiez-vous ! »
Bien que le matériel affecté par l'incident « ait été mis hors ligne rapidement dès la découverte du problème », a déclaré le FBI, « il s'agit d'une situation continue » :
« Le FBI et la CISA [la Cybersecurity and Infrastructure Security Agency] sont au courant de l'incident de ce matin impliquant de faux e-mails provenant d'un compte de messagerie @ic.fbi.gov », lit-on dans le communiqué du FBI. « Il s'agit d'une situation continue et nous ne sommes pas en mesure de fournir des informations supplémentaires pour le moment. Le matériel concerné a été mis hors ligne rapidement dès la découverte du problème. Nous continuons d'encourager le public à se méfier des expéditeurs inconnus et nous vous exhortons à signaler toute activité suspecte à www.ic3.gov ou www.cisa.gov ».
Le chercheur en cybersécurité Kevin Beaumont atteste également de l'apparence légitime de l'e-mail, déclarant que les en-têtes sont authentifiés comme provenant des serveurs du FBI à l'aide du processus DKIM (Domain Keys Identified Mail) qui fait partie du système utilisé par Gmail pour coller les logos de la marque sur les e-mails d'entreprise vérifiés.
Un examen des en-têtes de message de l'e-mail a indiqué qu'il avait bien été envoyé par le FBI et à partir de la propre adresse Internet de l'agence. Le domaine dans la partie « de : » de l'e-mail que vous pouvez voir (eims@ic.fbi.gov) correspond à la division des services d'information sur la justice pénale (CJIS - Criminal Justice Information Services) du FBI.
Selon le ministère de la Justice :
« Le CJIS gère et exploite plusieurs systèmes nationaux d'information sur la criminalité utilisés par la communauté de la sécurité publique à des fins criminelles et civiles. Les systèmes CJIS sont à la disposition de la communauté de la justice pénale, y compris les forces de l'ordre, les prisons, les procureurs, les tribunaux, ainsi que les services de probation et de mise en état. Les systèmes CJIS sont également disponibles pour les agences de justice non pénale à des fins civiles spécifiquement autorisées, telles que le dépistage du placement d'enfants, l'emploi, le logement et l'octroi de licences.
Des agences à travers les États-Unis soumettent des informations aux systèmes CJIS et obtiennent des informations de ces derniers. Cet échange d'informations est essentiel à la sécurité publique. Le Federal Bureau of Investigation (FBI) maintient les systèmes hôtes et fournit un réseau de télécommunications à un CSA dans chacun des 50 États, le District de Columbia, les territoires, le Canada et les agences fédérales, y compris le DOJ. Les CSA donnent accès aux systèmes CJIS ainsi qu'aux Nlets ».
Un code non sécurisé
Selon une interview avec la personne qui a revendiqué la responsabilité du canular, et qui répond au pseudonyme Pompompurin sur Twitter, les messages de spam ont été envoyés en abusant d'un code non sécurisé dans un portail en ligne du FBI conçu pour partager des informations avec les autorités nationales et locales chargées de l'application des lois.
Dans une interview, Pompompurin a déclaré que le piratage avait été fait pour souligner une vulnérabilité flagrante dans le système du FBI :
« J'aurais pu utiliser cela à 1000 % pour envoyer des e-mails plus légitimes, inciter les entreprises à transmettre des données, etc. », a déclaré Pompompurin. « Et cela n'aurait jamais été trouvé par quiconque aurait divulgué de manière responsable, en raison de l'avis que les autorités ont publié sur leur site Web ».
Pompompurin dit que l'accès illicite au système de messagerie du FBI a commencé par une exploration de son portail d'entreprise d'application de la loi (LEEP - Law Enforcement Enterprise Portal), que le bureau décrit comme « une passerelle permettant aux organismes chargés de l'application de la loi, aux groupes de renseignement et aux entités de justice pénale d'accéder à des ressources utiles ».
« Ces ressources renforceront le développement de cas pour les enquêteurs, amélioreront le partage d'informations entre les agences et seront accessibles dans un emplacement centralisé ! », s'enthousiasme le site du FBI.
Jusqu'à samedi matin, le portail LEEP permettait à n'importe qui de demander un compte. Des instructions détaillées pour l'enregistrement d'un nouveau compte sur le portail LEEP sont également disponibles sur le site Web du DOJ. Il convient de noter que « l'étape 1 » de ces instructions consiste à visiter le site dans Internet Explorer de Microsoft, un navigateur Web obsolète que même Microsoft n'encourage plus les gens à utiliser pour des raisons de sécurité.
Une grande partie de ce processus consiste à remplir des formulaires avec les informations personnelles et de contact du demandeur, ainsi que celles de son organisation. Une étape critique de ce processus indique que les candidats recevront une confirmation par e-mail de eims@ic.fbi.gov avec un code d'accès à usage unique (apparemment pour valider que le candidat peut recevoir des e-mails sur le domaine en question).
Mais selon Pompompurin, le propre site Web du FBI a divulgué ce mot de passe à usage unique dans le code HTML de la page Web.
Pompompurin a déclaré avoir pu s'envoyer un e-mail depuis eims@ic.fbi.gov en modifiant la demande envoyée à son navigateur et en modifiant le texte dans les champs « Sujet » et « Contenu texte » du message.
« Fondamentalement, lorsque vous avez demandé le code de confirmation, [il] a été généré côté client, puis vous a été envoyé via une demande POST », a déclaré Pompompurin. « Cette demande de publication comprend les paramètres de l'objet de l'e-mail et du contenu du corps ».
Pompompurin a déclaré qu'un simple script remplaçait ces paramètres par son propre sujet et corps de message, et automatisait l'envoi du message canular à des milliers d'adresses e-mail.
« Inutile de dire que c'est une chose horrible à voir sur n'importe quel site Web », a déclaré Pompompurin. « Je l'ai vu plusieurs fois auparavant, mais jamais sur un site Web gouvernemental, encore moins un site géré par le FBI ».
Comme nous pouvons le voir sur la première capture d'écran, le message canular de Pompompurin ressemble à une tentative visant à salir le nom de Vinny Troia, le fondateur des sociétés de renseignement sur le dark web NightLion et Shadowbyte.
« Les membres de la communauté de piratage RaidForums ont une querelle de longue date avec Troia, et dégradent généralement les sites Web et effectuent des piratages mineurs où ils blâment le chercheur en sécurité », note un observateur. Faisant un tweet relatif à cette campagne de spam, Vinny Troia a fait allusion à une personne connue sous le nom de « Pompompurin », comme l'auteur probable de l'attaque. Troia dit que l'individu a été associé dans le passé à des incidents visant à nuire à la réputation du chercheur en sécurité.
En attendant, le FBI a fait cette déclaration :
« Le FBI est au courant d'une mauvaise configuration logicielle qui a temporairement permis à un acteur d'exploiter le Law Enforcement Enterprise Portal (LEEP) pour envoyer de faux e-mails. LEEP est l'infrastructure informatique du FBI utilisée pour communiquer avec nos partenaires chargés de l'application de la loi au niveau national et local. Alors que l'e-mail illégitime provenait d'un serveur exploité par le FBI, ce serveur était dédié à l'envoi de notifications pour LEEP et ne faisait pas partie du service de messagerie d'entreprise du FBI. Aucun acteur n'a pu accéder ou compromettre des données ou des informations personnelles sur le réseau du FBI. Une fois que nous avons appris l'incident, nous avons rapidement corrigé la vulnérabilité du logiciel, averti les partenaires de ne pas tenir compte des faux e-mails et confirmé l'intégrité de nos réseaux ».
Sources : communiqué de presse FBI, Kevin Beaumont, Vinny Troia, Pompompurin, ministère américain de la justice, SpamHaus
