Parmi tous les ennemis auxquels les Etats-Unis doivent faire face dans le cyberespace, il en existe un que le FBI et la CIA semblent souvent avoir du mal à contenir.
Il ne s’agit pas d’un groupe de pirates d’un État-Nation tel que Fancy Bear, APT 1 ou Lazarus Group, mais d’un groupe dont l’ingéniosité, la détermination et la capacité à penser de façon créative semblent provenir d’une poignée d’adolescents.
Le piratage par des adolescents est vieux comme le monde bien sûr et pourtant des exemples tirés de faits réels continuent à affluer, et en particulier des affaires judiciaires impliquant de jeunes hommes au Royaume-Uni et aux États-Unis.
La dernière en date porte sur Kane Gamble, qui a plaidé coupable en octobre dernier d’avoir dirigé le groupe “Crackas With Attitude” (CWA) qui a lancé une série d’attaques innovantes contre des hauts responsables du gouvernement américain, entre juin 2015 et son arrestation en février 2016.
Lors de l’audience de la semaine dernière, qui s’est tenue à Old Bailey à Londres, et qui visait à fixer sa peine, le tribunal a d’abord découvert comment Gamble (alors âgé de 15 ans) avait ciblé le directeur de la CIA, John Brennan, en accédant à ses comptes email et iCloud, et en utilisant son numéro de téléphone personnelle pour lui faire une mauvaise blague.
Ensuite sur la liste nous trouvons, Mark Giuliano (directeur adjoint du FBI), Amy Hess (agent spécial du FBI), Jeh Johnson (secrétaire à la sécurité intérieure), Avril Haines (conseillère adjointe à la sécurité nationale), John Holdren (conseiller principal en science et technologie), pour n’en nommer que quelques-uns.
Très motivé par la politique, Gamble aurait divulgué des documents provenant du compte email de Brennan, ainsi que 3 500 noms, adresses email et numéros de contact de la police américaine et du personnel militaire américain, dans un fichier volé à Giuliano.
Il a écouté de nombreux messages vocaux, a envoyé des messages texte depuis le téléphone de Jeh Johnson et a même accédé à distance à sa télévision connectée à internet pour afficher le message “tu m’appartiens”.
Ce qui ressort de cette affaire, ce n’est pas seulement le succès de sa campagne, mais aussi un modus operandi d’une simplicité désarmante, qui doit servir d’avertissement massif pour les entreprises, et ce partout dans le monde.
Loin d’utiliser des techniques de piratage élaborées, Gamble a simplement téléphoné aux services d’assistance concernant les fournisseurs de haut débit et d’énergie, en utilisant des numéros publics, et en réussissant à convaincre le personnel qu’ils parlaient à la bonne personne, permettant ainsi d’accéder ou de réinitialiser les comptes en question.
La sécurité qui aurait dû arrêter le groupe, en répondant à des questions de sécurité personnelles, n’a pas fonctionné.
Comme l’expert judiciaire John Lloyd-Jones QC l’a déclaré:
Le groupe a été incorrectement désigné comme des pirates. En effet, le groupe a utilisé en fait ce qu’on appelle l’ingénierie sociale, qui consiste à manipuler socialement les personnes, des centres d’appel ou des services d’assistance, afin d’accomplir des actes ou divulguer des informations confidentielles.
Si quelques adolescents peuvent pénétrer dans les comptes de cibles prestigieuses telles que le chef de la CIA, quelle est la chance d’une entreprise moyenne ou du citoyen lambda de résister à une telle attaque ? Il s’agit d’une faille dans l’armure de l’identification, que chaque entreprise devrait évaluer.
Deux experts Sophos ont récemment parlé de la menace que représente l’ingénierie sociale dans une discussion Live sur Facebook. Cela vaut la peine de la regarder pour en savoir plus sur ce problème, et découvrir les moyens de se défendre contre les ingénieurs sociaux.
Billet inspiré de How a teen used social engineering to take on the FBI and CIA, sur Sophos nakedsecurity.