Des hackers iraniens auraient piraté les meilleures universités britanniques, notamment Oxford et Cambridge, dans le but de voler ce que the Telegraph décrit comme des “millions” d’articles et de documents universitaires de recherche, mis en vente par la suite via WhatsApp et des sites web.
La publication a rapporté vendredi qu’une grande partie des sujets sont sans intérêt, mais certains articles traitent tout de même de sujets tels que le développement nucléaire et le chiffrement informatique.
A priori, les éventuels hackers chercheraient ensuite à vendre ces documents universitaires sur des sites web en langue farsi, et en parallèle sur WhatsApp, l’application de messagerie chiffrée de bout en bout, et ce pour seulement 2 £ (2,25 €).
Le vol de propriété intellectuelle a initialement été signalé le mois dernier par des chercheurs de Secureworks qui ont découvert une URL usurpant une page de connexion à une université : la partie émergée de ce qui s’est avéré être un iceberg en matière de vol de données !
Une analyse approfondie a permis de découvrir 16 domaines contenant plus de 300 sites web usurpés et pages de connexion pour mener une campagne au niveau mondial en ciblant 76 universités situées dans 14 pays, dont l’Australie, le Canada, la Chine, Israël, le Japon, la Turquie, le Royaume-Uni et les États-Unis.
Secureworks a relié cette campagne au gouvernement iranien.
En février, les États-Unis ont inculpé neuf ressortissants iraniens pour intrusion présumée dans un ordinateur, fraude informatique et vol d’identité aggravé. L’acte d’accusation prétendait que les hommes étaient impliqués dans un projet visant à obtenir un accès non autorisé à des systèmes informatiques, à voler des données appartenant à ces systèmes et à vendre les données volées à des clients iraniens, y compris le gouvernement iranien et des universités iraniennes.
Selon le FBI, chacun des neuf individus était affilié à l’Institut Mabna : un organisme gouvernemental privé basé en Iran qui travaillait pour les “Islamic Revolutionary Guard Corps“.
Le FBI affirme que les organisations pillées comprenaient environ 144 universités américaines, 176 universités étrangères dans 21 pays, 5 agences gouvernementales nationales et fédérales aux États-Unis, 36 sociétés privées aux États-Unis, 11 sociétés privées étrangères et 2 organisations non gouvernementales internationales.
Les hackers auraient obtenu l’accès aux systèmes universitaires et aux bases de données de recherche en lançant des attaques de phishing sur le personnel universitaire et les étudiants, les incitant à réinitialiser leurs mots de passe sur les domaines falsifiés découverts par Secureworks le mois dernier.
Les universités sont, bien sûr, une cible privilégiée pour les cyberattaques, compte tenu de la propriété intellectuelle extrêmement précieuse issue des projets de recherche, en particulier ceux qui concernent l’infrastructure nationale, la technologie et la défense, qu’ils soient virtuels ou réels.
Après avoir découvert les sites usurpés, l’équipe de recherche de l’unité de lutte contre les menaces de Secureworks a déclaré que cette menace soulignait l’importance de l’intégration de l’authentification multifactorielle à l’aide de protocoles sécurisés, en plus de la mise en œuvre d’exigences fortes en matière de mots de passe complexes au niveau des systèmes accessibles au public.
Nous n’avons pas beaucoup de détails sur le volume d’informations volées qui devait être publiée de toute façon, et ce indépendamment de la campagne de phishing. Combien de recherches sur la cryptographie effectuées dans les universités sont top-secrètes, par exemple ?
Nous ne savons pas non plus combien de documents ont été volés au niveau d’une sorte de paywall qui n’a rien à voir avec la confidentialité ou la sécurité nationale, comme c’était le cas des “vols” prétendument commis par Aaron Schwartz.
Schwartz aurait utilisé le réseau du MIT pour télécharger une masse de documents universitaires provenant des archives de la revue scientifique à but non lucratif JSTOR, en violation de ses droits, dans le but de les republier sans restriction.
Certains des documents ont-ils été volés derrière ce qui était censé être véritablement des portes fermées à accès restreint ? Ou classés comme “volés” parce qu’ils n’étaient pas encore officiellement publiés ?
En bref, nous ne connaissons pas le volume exact que représentent les données volées parmi celles offertes “à la vente”. Nous savons cependant que les voleurs ne font pas nécessairement de distinction : ils récupèrent tout ce qu’ils peuvent, puis ils, ou leurs clientèles payantes, essaient ensuite de comprendre ce qu’ils ont récupéré.
Mieux vaut donc empêcher dès le départ quiconque de pénétrer dans un système, plutôt que de partir du principe qu’il n’est pas nécessaire de s’inquiéter au sujet de ces documents universitaires volés, et peu importe qu’ils soient à priori sans intérêt !
Billet inspiré de Hackers selling research phished from universities on WhatsApp, sur Sophos nakedsecurity.