Voici comment dérober des mots de passe dans une entreprise milliardaire

© iStock
Pieterjan Van Leemputten

Une jeune entreprise belge a réussi à mettre la main sur 79 pour cent des mots de passe dans une entreprise milliardaire allemande. C’est là un sacré avertissement à propos du fait que le piratage (hacking) et l’hameçonnage (phishing) peuvent se faire parfois de manière on ne peut plus évidente.

L’attaque d’hameçonnage a été effectuée à la demande de la victime elle-même. L’entreprise, dont le chiffre d’affaires annuel est d’une vingtaine de milliards d’euros, voulait faire quelque chose de spécial à l’occasion d’une réunion de sécurité interne et a fait dans ce but appel à HackFridays, une composante de l’entreprise belge Cloudoki, spécialisée en architecture et développement d’applications.

Etape 1: choisissez un nom de domaine

HackFridays a enregistré un nom de domaine que l’on pouvait facilement confondre avec celui de l’entreprise en question. Elle hébergea ensuite un site web contrefait en vue de collecter les données de login.

“Cela nous a pris sept minutes environ et coûté une dizaine d’euros. Nous avons aussi mis en oeuvre un VPS (Virtual Private Server) allemand pour éviter que des éléments tels des pare-feu (firewalls) et autres sonnettes d’alarme se déclenchent”, explique Bram Van Oost d’HackFridays.

Etape 2: créez un écran de login

Les pirates ont créé sur leur serveur une page de login ressemblant exactement à celle de l’entreprise. “Ici, nous avons reçu de l’aide de l’extérieur. Nous avons obtenu une capture d’écran de leur page de login standard et nous l’avons contrefaite le plus précisément possible.”

.
.© .

Etape 3: envoyez des courriels

Pour mettre la main sur des mots de passe, des mails ont été envoyés à 72 membres du personnel de l’entreprise. Le message qu’ils contenaient était soi-disant un rappel d’une enquête interne à compléter avec deux liens intégrés au texte. La simplicité même, mais avec un élément déclencheur.

.
.© .

Etape 4: faites preuve (d’un peu) de patience!

Les employés qui cliquèrent sur le lien, virent apparaître le formulaire de login. Une fois complété, les informations furent automatiquement conservées dans une base de données. Ensuite, les utilisateurs reçurent un message d’erreur par défaut, leur donnant l’impression que leur tentative de login (connexion) avait échoué.

A noter ici – et ce n’est pas sans importance – que HackFridays conserva les mots de passe cryptés et ‘salted’. L’entreprise n’a donc elle-même jamais vu de mots de passe. Le message d’erreur affichait du reste clairement la mention ‘you have been phished’ (vous avez été hameçonné).

Le résultat de l’opération en valait la peine. Au bout d’une demi-heure déjà, huit mots de passe avaient été collectés. En 72 heures, HackFridays collecta pas moins de 57 mots de passe, soit 79 pour cent du nombre total de personnes à qui le courriel d’hameçonnage avait été envoyé.

Le nom de l’entreprise n’a pas été dévoilé, mais Van Oost révèle cette histoire précisément parce que ce genre d’attaque induit assez facilement les utilisateurs en erreur du fait qu’elle n’est pas toujours aisément reconnaissable. Même avec un minimum d’infos internes, la plupart des utilisateurs tombent dans le piège, et des pirates mal intentionnés peuvent alors accéder aux systèmes et fichiers internes, avec toutes les conséquences que cela implique.

.
.© .

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire