Une fuite de 15 millions de comptes n’est jamais une bonne nouvelle, et dans ce cas, il est fort probable que de nombreux mineurs soient concernés par la fuite de leurs données personnelles… Toutefois, d’après les informations dont nous disposons aujourd’hui, la manière dont l’ESEA a traité l’incident semble plutôt être un bon exemple. Ce piratage s’inscrit dans la tendance des attaques bien connues perpétrées par des professionnels qui recherchent des gains financiers. En effet, la majorité des failles de données de grande ampleur de ces dernières années a été motivée par des motifs financiers. Parmi les exemples marquants, nous pouvons citer par exemple : le piratage du réseau interbancaire SWIFT, les 500 millions de comptes MySpace dérobés, la vente aux enchères d’outils prétendument dérobés à la NSA ou encore la désormais célèbre faille massive de données du géant américain Target. Ces attaques sont devenues quotidiennes et ciblent les informations de cartes de crédit et globalement toutes les informations qui peuvent facilement et rapidement être converties en argent. Le dernier rapport DBIR de Verizon, qui est basé sur l’analyse de centaines de milliers d’incidents, souligne d’ailleurs que l’argent est la motivation première des cyberattaques.
L’ESEA a donc eu la bonne réaction face à ce chantage en refusant de négocier. Refuser de payer, en un sens, améliore la sécurité de tout le monde. C’est exactement le même principe que de refuser de négocier avec terroristes : si les attaquants savent qu’ils n’ont qu’une chance infime d’extorquer de l’argent ou quoique ce soit d’autre à leurs victimes, alors is se poseront la question de l’intérêt de lancer leurs attaques.
Il semble également que l’ESEA avait correctement mis en place les règles basiques de sécurité : les mots de passe et les réponses aux questions secrètes stockés étaient cryptés, ce qui est déjà une bonne pratique de sécurité. Mais revenons plus en détails sur l’analyse de l’incident proposée par l’ESEA sur son site et qui est mise à disposition de ses utilisateurs – faute d’analyse issue d’une partie tierce à ce jour. Dans son FAQ, l’ESEA explique que les « informations exposées incluent les noms d’utilisateurs, les emails, les messages privés, les adresses IP, les numéros de téléphone mobile (pour l’envoi de SMS), les posts de forum, les mots de passe hachés ainsi que les réponses aux questions secrètes ». Cela signifie qu’ils n’ont pas stocké les mots de passe et les réponses aux questions secrètes directement en texte brut mais bien avec un processus de hachage qui transforme de manière unidirectionnelle les données et protège donc ces informations d’identification. Cette précaution est vraiment importante, car cela veut dire que les attaquants ne peuvent pas avoir accès directement à des mots de passe qu’ils vont pouvoir réutiliser immédiatement. Malheureusement, beaucoup d’entreprises n’utilisent pas encore ce type de procédés ou simplement des méthodes de hachage faibles.
Le cryptage de ces données ne permet toutefois pas d’éviter les attaques par dictionnaire, c’est à dire lorsque les attaquants tentent un grand nombre de mots connus pour voir s’ils peuvent avoir été utilisés comme mots de passe. Lorsque, comme dans le cas de l’ESEA, les cybercriminels n’ont que des mots de passe hachés, ils vont tenter de contourner la transformation unidirectionnelle en testant des mots connus généralement utilisés comme mots de passe tels que « password », « 1234 » « user » ou bien des données personnelles « prénomnom », des dates de naissance, etc. Aussi le conseil habituel d’utiliser des gestionnaires de mots de passe pour éviter la réutilisation de mots de passe s’applique complètement ici. En effet, le danger n’est pas uniquement de se faire dérober son compte ESEA. Cela pourrait être pire si les cybercriminels venaient à dérober tous les autres comptes personnels des victimes.
Malgré tout, il y a bien eu une lacune dans l’infrastructure de sécurité de l’ESEA. Nous n’en savons pas plus sur la source de la faille et le mode opératoire, mais nous pouvons évidemment émettre quelques hypothèses parmi les plus courantes. La source pourrait en effet être un utilisateur malveillant (les menaces internes sont généralement définies par les professionnels comme l’une des principales menaces – mais notons tout de même que les failles issues de l’interne peuvent être intentionnelles ou simplement le résultat d’une erreur d’utilisation), un vol de comptes utilisateurs via un email de phishing ou de comptes utilisateurs privilégiés pour ensuite escalader les privilèges, l’utilisation de vulnérabilités dans des applications ou encore une simple injection SQL.
La société va maintenant devoir découvrir la faille et boucher le trou par lequel le criminel est entré sur son réseau. Dans son FAQ en ligne, l’ESEA rappelle qu’il n’y a pas de sécurité à 100%. Nous ne pouvons être plus en phase avec cela. Et le travail d’une équipe de sécurité est plutôt aujourd’hui d’être capable de réagir vite suite à des incidents réels ou potentiels, que d’espérer prévenir toutes les attaques possibles.
Péter Gyöngyösi, responsable produit blindspotter chez Balabit.