Comme beaucoup de choses dans le monde obscur de la cybercriminalité, une menace interne est une expérience rare.
Encore moins de gens veulent en parler.
Mais j’ai vécu une expérience unique et inquiétante de la façon dont les pirates informatiques peuvent exploiter les personnes internes lorsque j’ai moi-même récemment reçu des avances d’un gang criminel.
« Si vous êtes intéressé, nous pouvons vous offrir 15 % du montant de la rançon si vous nous donnez accès à votre ordinateur. »
C’est le message que j’ai reçu de manière inattendue d’un certain Syndicate qui m’a contacté en juillet sur l’application de chat cryptée Signal.
Je n’avais aucune idée de qui était cette personne, mais j’ai immédiatement compris de quoi il s’agissait.
On me proposait une partie d’une somme potentiellement importante si j’aidais des cybercriminels à accéder aux systèmes de la BBC via mon ordinateur portable.
Ils volaient des données ou installaient des logiciels malveillants et rançonnaient mon employeur, et je touchais secrètement une commission.
J’avais entendu des histoires de ce genre.
En fait, quelques jours seulement avant le message non sollicité, des nouvelles du Brésil circulaient : un informaticien brésilien avait été arrêté pour avoir vendu ses identifiants de connexion à des pirates informatiques, ce qui, selon la police, aurait entraîné une perte de 100 millions de dollars (74 millions de livres sterling) pour la victime bancaire.
J’ai décidé de jouer le jeu de Syndicate après avoir suivi les conseils d’un rédacteur en chef de la BBC. J’étais impatient de voir comment les criminels concluent ces accords douteux avec des employés potentiellement perfides, à une époque où les cyberattaques à travers le monde sont de plus en plus pernicieuses et perturbent la vie quotidienne.
J’ai dit à Syn, qui a changé de nom en cours de conversation, que j’étais potentiellement intéressé, mais que j’avais besoin de comprendre son fonctionnement.
Ils m’ont expliqué que si je leur communiquais mes identifiants et mon code de sécurité, ils pirateraient la BBC et extorqueraient ensuite une rançon en bitcoins à l’entreprise. Je recevrais alors une partie de ce paiement.
Ils ont augmenté leur offre.
« Nous ne savons pas exactement combien la BBC vous paie, mais que se passerait-il si vous preniez 25 % de la négociation finale alors que nous ne percevons que 1 % des revenus totaux de la BBC ? Vous n’auriez plus jamais besoin de travailler. »
Syn a estimé que son équipe pourrait exiger une rançon de plusieurs dizaines de millions de dollars s’ils parvenaient à infiltrer l’entreprise.
La BBC n’a pas encore pris position publiquement quant à son intention de payer les pirates, mais les forces de l’ordre déconseillent de payer.
Malgré tout, les pirates ont poursuivi leurs manœuvres.
Syn m’a dit que je gagnerais des millions. « Nous supprimerions cette conversation pour que personne ne vous retrouve », a-t-il insisté.
Le pirate informatique a affirmé avoir obtenu de nombreux succès en concluant des accords avec des initiés lors d’attaques précédentes.
Les noms de deux entreprises piratées cette année ont été cités comme exemples de cas où un accord a été conclu : une entreprise britannique du secteur de la santé et un prestataire de services d’urgence américain.
« Vous seriez surpris du nombre d’employés qui nous donneraient accès », a déclaré Syn.
Syn a déclaré être « responsable de la communication » pour le groupe de cybercriminalité Medusa. Il a affirmé être occidental et être le seul anglophone du gang.
Medusa est un rançongiciel en tant que service. N’importe quel affilié criminel peut s’inscrire sur leur plateforme et l’utiliser pour pirater des organisations.
Selon un rapport de recherche de l’entreprise de cybersécurité CheckPoint, les administrateurs de Medusa opéreraient depuis la Russie ou l’un de ses États alliés.
« Le groupe évite de cibler les organisations en Russie et dans la Communauté des États indépendants (CEI) et [son activité se concentre principalement] sur les forums du dark web en langue russe. »
Syn m’a fièrement envoyé un lien vers un avertissement public américain concernant Medusa, publié en mars. Les autorités informatiques américaines ont déclaré qu’en quatre ans d’activité, le groupe avait piraté « plus de 300 victimes ».
Syn a insisté sur le fait qu’ils envisageaient sérieusement de conclure un accord pour vendre secrètement les clés du royaume de mon entreprise en échange d’un gros salaire.
On ne sait jamais vraiment à qui l’on parle, alors j’ai demandé à Syn de me le prouver. « Vous pourriez être des enfants qui rigolent ou quelqu’un qui essaie de me piéger », ai-je suggéré.
Ils m’ont répondu avec un lien vers l’adresse dark web de Medusa et m’ont invité à les contacter via Tox, un service de messagerie sécurisé très apprécié des cybercriminels.
Syn était très impatient et a accentué la pression pour que je réponde. Ils ont envoyé un lien vers la page de recrutement de Medusa sur un forum exclusif de cybercriminalité, m’incitant à entamer les démarches pour obtenir 0,5 bitcoin (environ 55 000 $) dans le cadre d’un dépôt.
En fait, ils me garantissaient au minimum cette somme une fois mes identifiants de connexion communiqués.
« Nous ne bluffons pas et ne plaisantons pas ; nous n’avons pas d’objectif médiatique précis, nous ne sommes là que pour l’argent, et l’un de nos principaux responsables voulait que je vous contacte. »
Ils m’ont apparemment choisi parce qu’ils pensaient que j’avais des compétences techniques et un accès privilégié aux systèmes informatiques de la BBC (ce qui n’est pas le cas). Je ne suis toujours pas certain que Syn savait que j’étais un correspondant cybernétique et non un employé de la cybersécurité ou de l’informatique.
Ils m’ont posé de nombreuses questions sur le réseau informatique de la BBC auxquelles je n’aurais pas répondu, même si je les avais sues. Ils m’ont ensuite envoyé un code informatique complexe et m’ont demandé de l’exécuter comme une commande sur mon ordinateur portable professionnel et de rapporter le résultat. Ils voulaient savoir de quel accès informatique interne je disposais pour planifier la suite des opérations une fois à l’intérieur.
À ce stade, je discutais avec Syn depuis trois jours et j’ai décidé que j’en avais assez et que j’avais besoin de conseils supplémentaires de la part des experts en sécurité informatique de la BBC.
C’était dimanche matin, donc je prévoyais de parler à mon équipe le lendemain matin.
J’ai donc gagné du temps. Mais Syn s’est agacé.
« Quand pouvez-vous faire ça ? Je ne suis pas patient », a dit le pirate.
« J’imagine que vous ne voulez pas vivre sur une plage aux Bahamas ? » ont-ils insisté.
Ils m’ont donné une date limite pour lundi minuit. Puis, ils ont perdu patience.
Mon téléphone a commencé à sonner avec des notifications d’authentification à deux facteurs. Les fenêtres contextuelles provenaient de l’application de connexion de sécurité de la BBC, me demandant de vérifier que j’essayais de me connecter à mon compte BBC.
Alors que je tenais mon téléphone en main, l’écran se remplissait d’une nouvelle requête toutes les minutes environ.
Je savais exactement de quoi il s’agissait : une technique de piratage connue sous le nom de bombardement MFA. Les attaquants bombardent une victime de ces fenêtres contextuelles en tentant de réinitialiser un mot de passe ou de se connecter depuis un appareil inhabituel.
La victime finit par accepter, soit par erreur, soit pour faire disparaître les fenêtres contextuelles. C’est ainsi que Uber a été piraté en 2022.
Être la cible était déstabilisant. Les criminels avaient déplacé la conversation relativement professionnelle de la sécurité de mon application de chat vers l’écran d’accueil de mon téléphone. C’était comme si des criminels frappaient agressivement à ma porte.
J’étais perplexe face à ce changement de tactique, mais trop prudent pour ouvrir mes conversations avec eux au cas où je cliquerais accidentellement sur « accepter ». Cela aurait donné aux pirates un accès immédiat à mes comptes BBC.
Le système de sécurité ne l’aurait pas signalé comme malveillant, car il aurait pu ressembler à une simple demande de connexion ou de réinitialisation de mot de passe de ma part. Après cela, les pirates auraient pu commencer à chercher l’accès aux systèmes sensibles ou importants de la BBC.
En tant que journaliste et non informaticien, je n’ai pas d’accès privilégié aux systèmes de la BBC, mais cela restait inquiétant et signifiait que mon téléphone était inutilisable.
J’ai appelé l’équipe de sécurité informatique de la BBC et, par mesure de précaution, nous avons convenu de me déconnecter complètement de la BBC. Plus d’e-mails, plus d’intranet, plus d’outils internes, plus de privilèges.
Le message étrangement calme des pirates est arrivé plus tard dans la soirée :
« L’équipe vous présente ses excuses. Nous testions votre page de connexion à la BBC et sommes profondément désolés si cela vous a causé des problèmes. »
J’ai expliqué que j’étais désormais exclu de la BBC et que j’étais contrarié. Syn a insisté sur le fait que l’accord était toujours valable si je le souhaitais. Mais après quelques jours sans réponse, ils ont supprimé leur compte Signal et ont disparu.
J’ai finalement été réintégré au système de la BBC, mais avec des protections supplémentaires.
Et avec l’expérience supplémentaire d’avoir été victime d’une attaque interne.
Un aperçu effrayant des tactiques complexes des cybercriminels, qui a mis en lumière tout un champ de risques pour les organisations, dont je n’avais pas vraiment pris conscience avant d’en être moi-même victime.
- 3 conseils pour détecter les faux avis sur internet
- Le vol de 14 millions de dollars que des pirates informatiques ont perpétré en deux heures dans des distributeurs automatiques de billets du monde entier
Source:news.abidjan.net