Les comptes Gmail de John Podesta et Colin Powell ont été piratés : comment ?

Hicham EL ALAOUI
Rédigé par Hicham EL ALAOUI

Les comptes Gmail de John Podesta et Colin Powell ont été piratés. Comment les pirates ont-ils fait pour accéder aux comptes de ces personnalités ?

Le 19 mars de cette année, John Podesta, le président de campagne d’Hillary Clinton, a reçu un e-mail alarmant qui semblait provenir de Google. Ce message ne venait pas de la firme de Mountain View. Il était en fait une tentative de piratage de son compte personnel en provenance d’un groupe de hackers que des chercheurs en sécurité et le gouvernement américain pensent être des pirates travaillant pour le gouvernement russe. À ce moment-là, John Podesta ne savait pas tout cela et c’est pour cette raison qu’il a cliqué sur le lien malveillant contenu dans l’e-mail, ce qui a donné accès à son compte aux pirates.

Quelques mois plus tard, le 9 octobre, Wikileaks a commencé à publier des milliers d’e-mails volés dans le compte mail de John Podesta. Pratiquement tout le monde a immédiatement pointé du doigt la Russie comme étant l’instigateur de cette campagne de piratage sophistiquée ayant pour but de saboter les élections américaines. Malheureusement, il n’y a aucune preuve publique qui a été publiée.

La divulgation des données piratées a été associée à un groupe de hackers russes connus sous le nom de Fancy Bear, APT28, ou encore Sofacy. C’est exactement de la même manière que le compte Gmail de Colin Powell a été piraté ainsi que les comptes de nombreuses autres personnalités, avec à chaque fois des contenus volés qui se retrouvent diffusés sur Wikileaks.

Tous les piratages ont été réalisés avec la même technique, l’utilisation d’une URL courte malicieuse cachée dans de faux messages soi-disant envoyés par Gmail. Une entreprise de sécurité qui les a traqués pendant une année explique que les pirates ont créé un compte Bitly lié à un domaine sous le contrôle de Fancy Bear.

Capture d'écran du lien Bitly utilisé contre John Podesta.
Capture d’écran du lien Bitly utilisé contre John Podesta.

L’URL contenue dans l’e-mail de phishing reçu par John Podesta contenait une URL raccourcie vers Bitly, une URL qu’à œil non averti ne peut pas remarquer. Cette URL contenait aussi une chaîne de 30 caractères ressemblant à du charabia qui était en fait l’adresse Gmail codée de John Podesta. Selon les statistiques de Bitly, le lien en question a été cliqué deux fois en mars.

Ce lien utilisé contre John Podesta n’est qu’un des quelque 9 000 liens que Fancy Bear a utilisé entre octobre 2015 et mai 2016 pour piéger près de 4 000 personnes. Les pirates les ont créés avec deux comptes Bitly sous leur contrôle.

Parce que les hackers ont oublié de rendre privés ces comptes Bitly, la société SecureWorks a pu remonter jusqu’à eux et découvrir des milliers d’URL Bitly connectées à une variété d’attaques, y compris contre la campagne Clinton. Les chercheurs ont ainsi découvert 213 URL raccourcies ciblant 108 adresses e-mail du domaine hillaryclinton.com.

C’est de cette manière qu’il a été trouvé que le compte Gmail de Collin Powel a été piraté, mais aussi celui de William Rinehart, un autre membre du personnel de la campagne présidentielle de Hillary Clinton.

Capture d'écran de l'URL Bitly malveillante reçue par William Rinehart.
Capture d’écran de l’URL Bitly malveillante reçue par William Rinehart.

Cette technique de piratage utilisant des URL courtes a aussi été récemment utilisée contre des journalistes indépendants de Bellingcat, un site qui a enquêté sur l’incident du vol Malaysian Airlines 17 (MH17) au-dessus de l’Ukraine en 2014. D’autres journalistes en Europe de l’Est ont récemment été ciblés avec des e-mails de phishing pour tenter de pénétrer dans leurs comptes Gmail.

Capture d'écran d'un e-mail de phishing reçu par un journaliste de Bellingcat.
Capture d’écran d’un e-mail de phishing reçu par un journaliste de Bellingcat.

Ces e-mails malveillants, tout comme ceux qui ont ciblé John Podesta, Collin Powell, William Rinehart et beaucoup d’autres personnes ressemblaient à des alertes envoyées par Google. Ils contenaient tous le même type de chaînes de caractères codés pour cacher le nom des victimes. On ne sait pas pourquoi les pirates ont utilisé ces chaînes codées.

Kyle Ehmke, un chercheur au cabinet de sécurité ThreatConnect, pense que c’est pour mieux organiser les opérations de piratage, pour garder une trace de ce qui a été volé et à qui cela a été volé. Pour d’autres, l’explication est plus simple. L’utilisation des sites de raccourcis comme Bitly a servi uniquement à ce que leur tentative de phishing puisse passer outre les filtres antispam.

Alors que le gouvernement américain a ouvertement pointé du doigt la Russie au sujet de cette attaque à grande échelle, aucune preuve ne démontre véritablement que Moscou est derrière ces piratages. Il n’en demeure pas moins que le groupe Fancy Bear a déjà été soupçonné plusieurs fois d’être lié au gouvernement russe.

Au sujet des preuves, il est simplement expliqué que personne n’en parle parce que personne n’est techniquement capable de les comprendre, donc de les expliquer au grand public.

Impliqué dans cette attaque, Bitly a réagi en déclarant que la société ne peut pas contrôler l’utilisation frauduleuse faite par certaines personnes malveillantes. « Nous ne pouvons pas surveiller de manière proactive nos clients » en surveillant leurs données privées sans compromettre notre engagement à respecter leur vie privée. « Les liens et les comptes liés à cette situation ont été bloqués dès que nous avons été informés. Ce n’est pas un exploit de Bitly, mais un malheureux exploit d’utilisateurs d’Internet par le biais de l’ingénierie sociale », a encore expliqué la société. Cette attaque démontre surtout que même les personnes les plus prudentes peuvent se faire avoir par un faux e-mail de Google. Cela démontre comme tous les internautes sont vulnérables aux messages non sollicités.

TAGGED :
Laisser un commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Quitter la version mobile