Une base de données du FBI a été piratée
Les données de plus de 20 000 agents fédéraux ont été exposées sur internet

Le , par Victor Vincent, Chroniqueur Actualités
Un pirate dont le compte Twitter a été bloqué depuis son annonce avait écrit sur le réseau social américain avoir réussi à pirater les comptes de plusieurs milliers d’agents fédéraux américains, dont 20 000 comptes du FBI (Federal Bureau of Investigation) et 9000 comptes du DHS (Department of Homeland Security). L’auteur de ce forfait affirme avoir réussi son coup en infiltrant le compte de messagerie d’un employé du ministère de la Justice. Il aurait piégé ce dernier en lui demandant ses identifiants pour accéder au portail et a utilisé les informations de ce dernier pour se connecter à une machine virtuelle du ministère à distance. Depuis cette machine virtuelle, il aurait donc eu accès à trois autres ordinateurs dont l’un appartient à sa victime et à partir desquels il a eu accès aux bases de données aussi bien du FBI que du DHS qui étaient en intranet avec le ministère de la Justice américain. Le pirate affirme également avoir en sa possession des centaines de gigaoctets de données du ministère américain de la Justice.

Les données piratées contiennent les noms des employés concernés, leurs numéros de téléphone, leurs adresses e-mail ainsi que les fonctions occupées par ces derniers. Parmi les victimes de la cyberattaque des employés avec des fonctions de hautes responsabilités telles que des agents spéciaux, des directeurs adjoints ou encore des spécialistes de la sécurité. Il y a également environ mille employés du FBI assignés à l’analyse de renseignement qui figurent sur la liste.

Le gouvernement américain n’a pas confirmé les dires du pirate, mais reste quand même sur ses gardes. En effet, un porte-parole du ministère de la Justice américain a déclaré que l’agence fédérale est en train de chercher à déterminer l’existence d’accès non autorisés dans leurs systèmes plus précisément les parties contenant les informations des employés. Il ajoute que les investigations vont se poursuivre pour déterminer si les faits prétendus par le pirate sont avérés. Toutefois il rassure l’opinion américaine qu’il n’y a encore aucune preuve que des informations personnelles sensibles des employés ont été rendues publiques.

Le pirate qui a utilisé un pseudonyme sur Twitter pour déclarer son forfait semble être animé d’une idéologie propalestinienne en scandant comme slogan, toujours sur le réseau social, un slogan : « vive la Palestine, vive Gaza » en utilisant également à la fin de son message le hashtag #FreePalestine.

Ce piratage relance encore une fois de plus le débat sur la protection des données et la sécurité de manière générale aux États-Unis. Il y a eu une série de cyberattaques qui ont été menées contre les employés du gouvernement. Les Américains ont encore en mémoire l’attaque de la messagerie du directeur du FBI en octobre dernier par des pirates qui se faisaient appeler les «Crackas With attitude. Les pirates avaient alors ciblé d’autres employés haut placés au niveau du gouvernement ainsi qu’un responsable à la maison blanche. À la suite de ce piratage, il y a eu en janvier dernier un autre groupe de cybercriminels qui ont publié une liste d’agents de police de l’État de Floride. Toutes ces attaques poussent l’expert en sécurité Michael Adams qui a servi au sein du US Special Operations Command à dire que le gouvernement américain est dans l’incapacité de protéger les données sensibles de ses employés. Selon lui, les fondamentaux de sécurité ne seraient pas respectés, ce qu’il trouve tout simplement inacceptable pour un pays qui prétend être la première puissance au monde.


Source : Motherboard

Et vous ?

Que pensez-vous de cette cyberattaque menée contre les agents fédéraux américains ?

Voir aussi

la rubrique Actualités


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Iradrille Iradrille - Expert confirmé https://www.developpez.com
le 12/02/2016 à 13:35
Citation Envoyé par Victor Vincent  Voir le message
Il aurait piégé ce dernier en lui demandant ses identifiants pour accéder au portail et a utilisé les informations de ce dernier pour se connecter à une machine virtuelle du ministère à distance.

Quelqu'un va se faire virer...

Diffuser des dossiers confidentiels anonymisés pourquoi pas, mais des listes de noms c'est moche. Ya certains de ces agents qui doivent avoir infiltrés des groupes criminels. Ils vont se faire tuer.
Avatar de irrmichael irrmichael - Futur Membre du Club https://www.developpez.com
le 12/02/2016 à 13:53
Quand on sait que ça ne dérange pas les States d'espionner tout le monde jusqu'aux téléphones portables des dirigeants européens, ça me choque pas qu'ils se fassent espionner à leur tour
Avatar de TheLastShot TheLastShot - Membre averti https://www.developpez.com
le 12/02/2016 à 14:35
Citation Envoyé par irrmichael  Voir le message
Quand on sait que ça ne dérange pas les States d'espionner tout le monde jusqu'aux téléphones portables des dirigeants européens, ça me choque pas qu'ils se fassent espionner à leur tour

Alors déjà l'espionnage tout le monde en fait, c'est pas réservé aux américains... Tu crois peut-être que tous les autres gouvernements se priverais de faire de même s'ils en avaient les moyens ? (D'ailleurs, rien ne nous prouve que ce n'est pas le cas, mais là on entre dans la spéculation, et ce n'est pas le sujet).

Sinon pour en revenir au sujet de l'article, autant j'étais relativement indifférent quand il s'agissait des secrets dévoilés par Snowden (de mon point de vue il a juste mis en évidence ce dont on pouvait déjà se méfier), autant là ce n'est non pas une institution en temps que tel qui est visé, mais directement des personnes qui peuvent être identifié (et étant donné qu'au FBI, a priori, les employés sont pas là pour distribuer des gaufres ça risque de mettre certaines de ces personnes, ainsi que leur entourage, en danger).
Après, reste à vérifier l'authenticité des propos. J'ai peut-être trop de préjugés, mais j'ai quand même du mal à me fier aux dires de quelqu'un dont le pseudonyme est "penis" et qui chiffre des données qu'ils dévoile via Twitter avec le mot de passe "lol"...

En tout cas, si l'information se révèle exact, on voit une fois encore que le plus gros problème dans la sécurité, ce sont les failles humaines:
Il aurait piégé ce dernier en lui demandant ses identifiants pour accéder au portail

Il me semble quand même évident, depuis le temps qu'on nous le répète, qu'on ne doit donner à personne ses identifiants, sous aucun prétexte (et je ne pense pas qu'ils soient plus laxiste au niveau sécurité) que j'ai du mal à comprendre comment cela peut encore arriver.
Avatar de MichaelREMY MichaelREMY - Membre confirmé https://www.developpez.com
le 12/02/2016 à 15:27
Alors déjà l'espionnage tout le monde en fait, c'est pas réservé aux américains... Tu crois peut-être que tous les autres gouvernements se priverais de faire de même s'ils en avaient les moyens ? (D'ailleurs, rien ne nous prouve que ce n'est pas le cas, mais là on entre dans la spéculation, et ce n'est pas le sujet).

je ne suis pas d'accord.
il y a des gens qui font de la collecte pure et d'autres qui analysent en direct les informations. C'est deux contextes différents.

Ce n'est pas parce que des infos sont collectées, qu'il y a espionnage.
Avatar de Iradrille Iradrille - Expert confirmé https://www.developpez.com
le 12/02/2016 à 15:40
Citation Envoyé par TheLastShot  Voir le message
En tout cas, si l'information se révèle exact, on voit une fois encore que le plus gros problème dans la sécurité, ce sont les failles humaines:

Il me semble quand même évident, depuis le temps qu'on nous le répète, qu'on ne doit donner à personne ses identifiants, sous aucun prétexte (et je ne pense pas qu'ils soient plus laxiste au niveau sécurité) que j'ai du mal à comprendre comment cela peut encore arriver.

Les hackers sont pas fous, ils font comme tout le monde face à un problème : ils cherchent le maillon faible. Et clairement le maillon faible c'est l'humain dans la majorité des cas (que se soit via phishing ou via torture).

Sinon entièrement d'accord avec le reste de ton post.
Avatar de TheLastShot TheLastShot - Membre averti https://www.developpez.com
le 12/02/2016 à 15:57
Citation Envoyé par MichaelREMY  Voir le message
je ne suis pas d'accord.
il y a des gens qui font de la collecte pure et d'autres qui analysent en direct les informations. C'est deux contextes différents.

Ce n'est pas parce que des infos sont collectées, qu'il y a espionnage.

Premièrement l'espionnage désigne la collecte d'informations, non leurs traitement... Ça, c'est fait !
Ensuite, ça ne contredit en rien ce que j'ai dit précédemment: Tout le monde fait de l'espionnage. C'est un fait, c'est comme ça. Chaque gouvernement cherche à se protéger, et à moins de vivre à BisounoursLand, le meilleur moyen de se protéger c'est de connaitre les éventuels menaces et de se renseigner dessus ==> espionnage. Après tout le monde ne s'y prend pas de la même manière, envers les même cibles, ni même avec la même ampleur, mais tous font de l'espionnage (L'espionnage pour un gouvernement, c'est un peu comme une étude de marché pour une entreprise).
Avatar de MichaelREMY MichaelREMY - Membre confirmé https://www.developpez.com
le 12/02/2016 à 16:49
Citation Envoyé par TheLastShot  Voir le message
Premièrement l'espionnage désigne la collecte d'informations, non leurs traitement... Ça, c'est fait !
Ensuite, ça ne contredit en rien ce que j'ai dit précédemment: Tout le monde fait de l'espionnage. C'est un fait, c'est comme ça. Chaque gouvernement cherche à se protéger, et à moins de vivre à BisounoursLand, le meilleur moyen de se protéger c'est de connaitre les éventuels menaces et de se renseigner dessus ==> espionnage. Après tout le monde ne s'y prend pas de la même manière, envers les même cibles, ni même avec la même ampleur, mais tous font de l'espionnage (L'espionnage pour un gouvernement, c'est un peu comme une étude de marché pour une entreprise).

bon je suis perplexe car dans le Larousse, il ya deux définitions de "espionange".
une avec une action néfaste, et une sans action néfaste (juste la surveillance)
Crime, atteinte aux intérêts fondamentaux de la nation accomplis par quelqu'un au profit d'une nation étrangère. (Commise par un Français ou un militaire au service de la France, cette infraction constitue une trahison.)

Action d'espionner, d'épier quelqu'un, un groupe ; surveillance secrète et désobligeante.

Je reste sur ma position, quand on collecte des infos, tant qu'on a pas regardé les infos collectées, il n'y a pas espionnage.
Par contre oui, il y a un vol d'informations, un crime (suivant la législation) mais pas espionnage encore.

Après allez savoir quelle durée (combien de temps) définie l'action de collecter....
si on collecte une trame le temps de 5ms, qu'on l'analyse, qu'on y trouve rien de dangereux, qu'on la jette (ne la garde pas), est-ce de la collecte ? non je pense. Est-ce de l'espionnage : non si on s'en réfère à la définition (car on n'a pas d'action néfaste envers l'autre pays).
Avatar de TheLastShot TheLastShot - Membre averti https://www.developpez.com
le 12/02/2016 à 17:35
Citation Envoyé par MichaelREMY  Voir le message
bon je suis perplexe car dans le Larousse, il ya deux définitions de "espionange".
une avec une action néfaste, et une sans action néfaste (juste la surveillance)

Je reste sur ma position, quand on collecte des infos, tant qu'on a pas regardé les infos collectées, il n'y a pas espionnage.
Par contre oui, il y a un vol d'informations, un crime (suivant la législation) mais pas espionnage encore.

Après allez savoir quelle durée (combien de temps) définie l'action de collecter....
si on collecte une trame le temps de 5ms, qu'on l'analyse, qu'on y trouve rien de dangereux, qu'on la jette (ne la garde pas), est-ce de la collecte ? non je pense. Est-ce de l'espionnage : non si on s'en réfère à la définition (car on n'a pas d'action néfaste envers l'autre pays).

Alors déjà, histoire qu'on soit clair sur ce point, un dictionnaire donne une (ou plusieurs) définition d'un mot qui lui semble être correct . C'est pour ça qu'on peut avoir des dictionnaires donnant, pour un même mots, des définitions proches mais avec cependant des nuances. Donc en soit une définition choisi au hasard , n'est pas suffisant pour servir d'argument.
Ensuite dans ton cas tu dis toi-même que le Larousse en donne deux définitions, mais pour ta conclusion tu décide arbitrairement de te baser uniquement sur celle qui t'arrange... Je pourrais très bien faire de même avec la seconde définition, qui fait qu'on se retrouverai dans une débat sans fin...
De plus la définition que tu as choisi, si je ne me trompe pas, est la première, qui parle simplement de crime commis envers une autre nation. Or le vol d'informations est clairement un crime, ce qui entre parfaitement dans ta définition sans qu'il y ai besoin que ces informations aient été consultées.

Pour finir la notion de collecte, a priori, n'implique pas une notion de temps. Tu as collecté quelque chose à partir du moment où tu l'as acquis (mais après je ne vois pas trop où tu voulais en venir avec ça).
En tout cas, la collecte qui s'effectue à l'insu du pays ciblé, c'est du vol d'information (et on en revient à mon paragraphe précédent).
Avatar de goomazio goomazio - Membre chevronné https://www.developpez.com
le 12/02/2016 à 21:54
Citation Envoyé par TheLastShot  Voir le message
Après, reste à vérifier l'authenticité des propos. J'ai peut-être trop de préjugés, mais j'ai quand même du mal à me fier aux dires de quelqu'un dont le pseudonyme est "penis" et qui chiffre des données qu'ils dévoile via Twitter avec le mot de passe "lol"...

Oui, ça pourrait être fait exprès ou être un fake etc. Mais je ne ferais pas la même interprétation que vous concernant le pseudonyme et le mot de passe.

Le pseudonyme est une insulte gentille envers le(s) gouvernement(s), si on fait le lien avec le @DotGovs et le fait que ça a été choisit après avoir réussis à déjouer la sécurité d'un système gouvernemental.
Le pseudo montre aussi que celui qui s'en sert est, ou se fait passer pour, une personne puérile, du genre qui rigole quand on dit "zizi caca boudin".
Et je pense que si le pirate avait signé "Anonymous" (), "BestHackerEver" ou "Marcel Martin", ça aurait été moins crédible que "Penis@DotGovs".

Pour le mot de passe, ce qui est pire de choisir Twitter comme plateforme et "lol" comme mot de passe c'est de donner le mot de passe avec le fichier protégé Mais c'est fait exprès pour que tout le monde puisse en "profiter".
Mais je pense surtout que le mot de passe montre aussi que l'auteur du tweet trouve qu'il y a quelque chose de drôle là dedans. C'est encore une bonne façon de se moquer des responsables de la sécurité du système piraté en leur montrant une sécurité vraiment pas efficace (un peu comme celle du gouvernement ?). Le plus drôle serait peut-être que le pirate ne se fasse pas prendre (il utilise surement Tor...).

La raison du piratage est aussi très vague. Si ce n'est pas fait exprès (honey-pot, faire passer les défenseurs de la palestine pour des crétins qui mettent la vie de fonctionnaires en danger...), que ce n'est pas pour fournir des informations "importantes" aux méchants (imaginons Al Capone crier sur la place publique le nom d'agents fédéraux...) etc., alors peut-être qu'éventuellement, sait-on jamais, il s'agit d'un problème personnel entre le pirate et le gouvernement (une vengeance réussie peut être "jouissivement drôle") hacktiviste qui se croit malin en criant "n*que la police", d'où, encore une fois, l'humour puéril qui ne montre aucunement, selon moi, que ce "Penis" n'est pas fiable.
Avatar de Sunchaser Sunchaser - Membre émérite https://www.developpez.com
le 12/02/2016 à 22:06
Bonsoir,
Désolé d'être le grincheux de service, mais il y a t il un moyen d'estimer la fiabilité de ce genre d'info ?
C'est pas un peu gros non ?
Il y aurait donc, regroupées au même endroit et en clair, des données super sensibles ? ... mouais, pourquoi pas ...
Contacter le responsable de la rubrique Accueil