On se fait tous un peu des idées sur le déroulement d’une véritable cyberattaque. Bercés par les films et les séries hollywoodiennes, on imagine toujours un pirate caché derrière une capuche noire, en train de taper des lignes de codes compliquées, sur un écran noir teinté de vert, le tout évidemment plongé dans l’obscurité. Au-delà du fantasme, il n’y a pas forcément besoin de coder à toute vitesse sur un terminal pour mener à bien un piratage. En fait, il suffit de se servir d’une panoplie d’outils… qui sont tous disponibles sur Internet.
Dans le cadre de notre visite dans les locaux du VPN Surfshark à Vilnius, nous avons eu la chance d’assister à une démonstration de piratage en temps réel. Cette « démonstration purement technique », diligentée par les chercheurs en cybersécurité Miguel Fornes et Bartosz Moskwik, a pour but d’illustrer le « point de vue d’attaquant », afin de comprendre « concrètement comment une attaque peut survenir », nous explique le duo. Les gens « ne comprennent pas vraiment à quel point cela peut être simple », souligne Miguel Fornes.
Des outils accessibles et abordables
Pour réaliser les simulations d’attaques, les chercheurs se sont uniquement servis d’outils à la portée de tout le monde, à savoir un Raspberry Pi, un petit ordinateur « de 70 euros » de la taille d’une carte de crédit, que l’on peut brancher à un écran, un clavier et une souris. C’est « un petit ordinateur qui n’a pas le tiers de la puissance de mon iPhone », souligne le chercheur. Ils se sont ensuite servis d’une poignée de logiciels accessibles librement et gratuitement sur la toile, par exemple sur Github. Pas besoin de se rendre dans d’obscurs recoins du dark web ou d’acheter des logiciels complexes avec des cryptos.
À lire aussi : Des milliers d’identifiants Microsoft ont été piratés, mais la contre-attaque est en cours
Dresser le profil de la cible
Dans un premier temps, le duo nous a fait la démonstration d’une attaque reposant sur le craquage d’un mot de passe. En une dizaine de minutes, les experts ont montré comment il était possible de deviner le mot de passe d’un compte. Pour débuter l’attaque, les « pirates » dressent le profil numérique de sa cible en scannant le web. Cette opération part d’une simple adresse mail et doit permettre de débusquer « quels services j’utilise, mes centres d’intérêt, mes adresses mail, voire des mots de passe exposés ».
En d’autres termes, les outils vont chercher tous les mots de passe qui sont liés à un nom d’utilisateur, votre adresse mail ou votre nom. Sur des forums criminels, on trouve énormément de bases de données contenant des mots de passe. Ces dernières années, les fuites de données se sont multipliées, à tel point que les informations d’une grande partie des internautes ont été compromises.
« En 10 minutes, un attaquant peut savoir énormément de choses sur une cible et sur son entreprise. Si en plus l’entreprise a déjà subi une fuite, jackpot : il n’y a plus qu’à récupérer les identifiants circulant sur Internet », relate Miguel Fornes.
Des mots de passe hachés
Dans certains cas, les attaquants vont tomber sur des mots de passe qui ont été hachés. En clair, ces mots de passe ont été transformés en une suite de caractères illisible par un algorithme de chiffrement. Les sites ne stockent pas le mot de passe en clair de leurs usagers, ils gardent seulement la suite de caractères, à savoir le hash, pour des raisons de sécurité. De cette manière, un pirate ne peut pas directement se servir du mot de passe qu’il a compromis pour pénétrer sur votre compte.
« Aujourd’hui, il est rare que le mot de passe soit accessible en clair ; il est plus fréquent qu’il soit haché », précise le responsable de la gouvernance et de la sécurité de Surfshark.
Pour casser le mot de passe, l’attaquant doit d’abord déterminer quel algorithme a été utilisé pour hacher le mot de passe. Le pirate peut avoir de la chance et tomber sur un algorithme de hachage qui a été compromis par le passé. Si c’est le cas, une simple carte graphique permet de débusquer le mot de passe. Avec la puissance de calcul du GPU, il est possible de tester massivement des combinaisons jusqu’à trouver la bonne à partir du hash. « Certains anciens hachages se cassent en quelques secondes avec une simple carte graphique », souligne le chercheur. Or, de nombreuses entités continuent de miser sur des algorithmes obsolètes.
Deviner le mot de passe
Concrètement, les attaquants doivent trouver une solution pour retrouver un mot de passe à partir de son empreinte cryptographique. Les cybercriminels disposent de plusieurs outils pour arriver à leurs fins, à supposer que le mot de passe ait été choisi par un être humain, et non par un générateur de mot de passe. Prenant le relais de son collègue, Bartosz Moskwik explique qu’on « étudie comment les gens créent des mots de passe » pour casser un mot de passe. On se rend vite compte que la plupart des gens prennent des noms de hobbys, d’animaux de compagnie, ou des dates. C’est en sachant cela que les pirates vont tenter de deviner le mot de passe en clair à partir de son empreinte cryptographique.
Tout d’abord, ils vont hacher un mot au hasard avec l’algorithme. Ce mot va se transformer en empreinte. Il compare cette empreinte à celle volée. Si les deux empreintes sont identiques, alors les deux mots aboutissent à la même empreinte, ce qui signifie que le pirate a deviné le mot de passe. Ce n’est évidemment jamais aussi simple. Le procédé est automatisé et répété des milliers de fois jusqu’à tomber sur la bonne combinaison. Les pirates testent d’abord la liste des mots de passe les plus répandus, et enchainent avec les noms les plus courants choisis par les utilisateurs.
Il s’agit d’une attaque par dictionnaire. La tactique consiste tout simplement à tester rapidement une liste prédéfinie de mots, phrases et variantes courantes jusqu’à trouver la combinaison qui correspond, plutôt que d’essayer toutes les combinaisons possibles, comme c’est le cas durant une attaque par force brute. Si « vous avez un mot de passe peu complexe et que l’entreprise le stocke de façon obsolète », vous risquez de voir votre compte compromis. C’est pourquoi le chercheur recommande de passer par un générateur de mot de passe, qui rend difficile, voire impossible, de craquer un mot de passe haché. Les gestionnaires de mots de passe, avec un générateur intégré, sont « une solution miracle ».
À lire aussi : les 7 trucs des pirates pour vous piéger
10 secondes pour tout savoir de vous
Ensuite, les deux chercheurs ont simulé une attaque phishing de A à Z. Là encore, tout commence avec des outils en accès libre qui vont parcourir Internet à la recherche d’informations sur le compte de la cible. Cette phase va permettre de dresser le portrait robot de leur victime, toujours en partant d’informations limitées, comme une adresse mail ou un nom. Comme l’explique Fornes, les pirates utilisent par exemple un logiciel « qui vérifie si une adresse a été utilisée sur une liste prédéfinie de sites ».
De « services très courants (Strava, Spotify, Snapchat) jusqu’à des sites beaucoup moins recommandables (Xvideos) », l’outil remonte « toutes les occurrences liées à cet e-mail ». L’opération expose l’intégralité de votre vie numérique… en moins de dix secondes. Cette recherche va aider les pirates à déterminer de quel service ils devront usurper l’identité. Une victime est évidemment plus susceptible de répondre et d’interagir avec le mail d’un service qu’elle utilise.
En poussant les investigations plus loin, les attaquants peuvent obtenir la liste complète des plateformes sur lesquelles votre nom ou votre pseudo apparait. Cela ne prend pas plus de deux minutes. Ensuite, des logiciels permettent même d’extraire des informations professionnelles, comme des adresses mail internes. Tout cela n’excède pas les 10 minutes.
Comment se déroule une attaque phishing ?
Dans le cadre de la démo, les chercheurs ont choisi LinkedIn. Avec des outils gratuits, ils ont rapidement cloné la page de connexion du réseau social. Bartosz Moskwik souligne avoir utilisé un « cloneur de site ». L’opération n’a pas pris plus de quelques secondes. Après avoir acheté un nom de domaine, volontairement proche de celui de LinkedIn, ils ont mis la fausse page de connexion en ligne. Cette page est bien sûr pensée pour subtiliser les identifiants de connexion d’un internaute.
Il faut désormais attirer la cible sur la page malveillante. En prenant la forme d’une invitation LinkedIn, l’attaquant va pousser sa cible à cliquer sur la page qu’il vient de concevoir. La « page semble légitime » alors l’internaute va être tenté d’entrer ses identifiants pour découvrir l’identité de la personne qui lui a envoyé une invitation. C’est là que l’attaquant aspire les identifiants. Lors de la démo, le phishing a abouti au vol de l’adresse mail de connexion et, surtout, au « mot de passe en texte clair ».
« La sécurité n’est pas une question de technologie. C’est même l’inverse. Si l’on prend l’exemple de la maison : on verrouille la porte et on se sent protégés grâce à la serrure. Pourtant, peu importe sa sophistication, la serrure n’a aucun effet si vous donnez simplement votre clé à quelqu’un. En cybersécurité, il en va de même », résume Miguel Fornes.
Le chercheur rappelle que ce type d’attaque de phishing est déployé à très grande échelle et vise des millions d’internautes en simultané. Il suffit qu’une seule victime tombe dans le piège, parce qu’elle est un peu fatiguée ou distraite, pour que l’opération soit un succès.
Le piratage, c’est devenu très accessible
Ce qui nous a essentiellement frappés dans les démonstrations réalisées chez Surfshark, c’est l’accessibilité de tous les outils utilisés dans le cadre d’un piratage. Les chercheurs n’ont pas été obligés de taper de longues et complexes lignes de code. Tout ce qui était nécessaire à l’attaque se trouvait en ligne, notamment sur des plateformes comme Github ou Gitlab. On a d’ailleurs fait l’exercice de rechercher tous les outils mentionnés durant la simulation à notre retour de Vilnius.
« Le cybercriminel n’a pas écrit de scripts. Il suit juste le déroulement du programme », souligne Bartosz Moskwik.
Tout au plus, les chercheurs ont tapé deux ou trois commandes basiques dans le terminal de l’ordinateur pour lancer un programme ou définir une action. Rien de bien sorcier. Avec un tutoriel complet, n’importe quel individu, qui est un minimum à l’aise avec l’informatique, peut tenter de vous pirater. Comme le souligne Miguel Fornes, « vous n’avez pas besoin d’être un hacker ou un développeur ». En fait, « il suffit de savoir utiliser les outils ».
Dans ce contexte, les chercheurs de Surfshark estiment qu’il est important que tous les internautes fassent preuve d’esprit critique et apprennent à reconnaitre les pièges. Plus concrètement, le duo recommande d’activer l’authentification à deux facteurs sur tous vos comptes. Enfin, ils conseillent de protéger vos mots de passe en passant par un gestionnaire de mots de passe muni d’un générateur. Ces précautions devraient vous prémunir contre la plupart des attaques.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.