Cyberguerre a obtenu l’accès à une base de 28 000 adresses email gouvernementales, agrégées à partir de plusieurs fuites de données bien connues. Ce trésor d’information, qui ne devrait en aucun cas être accessible, trouve aujourd’hui un écho particulier dans l’actualité.
Ces derniers jours, les cybercriminels visent les fonctionnaires français avec des vagues d’emails de phishing. Ces emails frauduleux embarquent en pièce jointe le dangereux cheval de Troie Emotet, qui permet à ses opérateurs de déployer toutes sortes d’attaques, du vol d’identifiant au terrifiant rançongiciel. Une fois leur malware débarqué sur un ordinateur, les hackers disposent de nombreuses ruses pour rapidement contaminer d’autres systèmes.
En réaction à ces cyberattaques signées Emotet, l’Anssi, une des agences compétentes sur les questions de cybersécurité à l’échelle nationale, a publié un bulletin d’alerte le 7 septembre. Elle y développe le mode opératoire des malfaiteurs et liste des mesures à prendre pour éviter de tomber dans le piège.
Pour lancer leur campagne de phishing, les opérateurs d’Emotet ont les moyens d’envoyer plus de 500 000 emails par jours. Mais pour viser les fonctionnaires, il leur faut des bases de données d’email. En soi, obtenir l’adresse email d’un employé de l’État n’est pas bien compliqué, puisqu’elles adoptent toutes le format « prénom.nom@[mot lié au ministère].gouv.fr ». Sauf que le phishing — à part pour des attaques particulièrement ciblées — se limite rarement aux petits nombres.
Des dizaines de milliers d’adresses gouvernementales exposées dans les fuites
Les malfaiteurs doivent donc trouver un moyen de collecter en masse des adresses emails, une tâche qui s’avère étonnamment peu complexe. Pour preuve, une source a communiqué à Cyberguerre une base de données de plus de 28 000 adresses email gouvernementales.
Ces milliers adresses proviennent de diverses fuites de données accessibles gratuitement à qui sait les chercher, comme notre source. Ces fuites ont par ailleurs été compilées par le site de référence HaveIBeenPwned, qui a récemment dépassé les 10 milliards d’identifiants collectés. Mais attention, ces adresses ont une particularité : elles sont toutes accompagnées d’un mot de passe, voire de plusieurs — jusqu’à 6 — dans certains cas, ce qui signifie que l’adresse email a fuité de plus d’un service.
Des milliers d’adresses gouvernementales à portée de clic
Le plus souvent, une base de données volée devient « gratuite » quand elle est déjà passée par de nombreuses mains. Les premiers malfaiteurs à mettre la main dessus vont l’exploiter à leur propre compte, ou la revendre à prix fort à un acheteur unique ou à une petite poignée d’intéressés. Ensuite, ce premier cercle d’acheteur va lui-même revendre les données à d’autres personnes, qui les revendront eux aussi, et ainsi de suite… jusqu’à ce qu’un important nombre de personnes y ait eu accès. Au bout de cette chaîne de revente, la base de données sera publiée gratuitement sur des forums. C’est par exemple le cas de certaines des fuites les plus marquantes de ces dernières années comme celle de LinkedIn (2012) ou de Domino’s (2017).
Autrement dit, énormément de malfaiteurs ont déjà enregistré ces adresses gouvernementales, et ont pu déjà les exploiter pour lancer des campagnes de phishings. Pire, si les propriétaires de ces adresses réutilisaient le mot de passe qui a leaké (ou une variante proche) pour leur adresse gouvernementale, un malfaiteur aurait pu s’introduire sur leur boîte email. Une fois cet accès obtenu, il pourrait envoyer des emails piégés à de nombreuses personnes, dans l’administration et en dehors. La légitimité de l’adresse email en « .gouv.fr » augmenterait grandement les chances de convaincre les victimes pour convaincre ses victimes.
Ne jamais utiliser son adresse professionnelle pour s’inscrire à un service tiers
Même sans mot de passe associé, ces nombreuses fuites de services tiers permettent de construire d’importants fichiers d’adresses gouvernementales qu’il suffit ensuite de bombarder avec les phishings. Si les cybercriminels veulent rendre leur tentative d’hameçonnage plus dangereuse, ils peuvent la nourrir avec les données personnelles qui accompagnent l’adresse email dans la fuite (identité, numéro de téléphone, centre d’intérêt… selon chaque fuite).
Notre source nous a communiqué simplement un échantillon d’adresses accompagnées par des mots de passe, l’association de données la plus dangereuse. Nous pouvons supposer qu’il en existe des dizaines de milliers d’autres, associées à d’autres types d’informations.
Cette situation est causée par une mauvaise pratique : l’utilisation de son adresse professionnelle pour s’inscrire à des services divers et variés. Quelle que soit l’organisation, une adresse professionnelle a plus de chance de contenir des informations qui vont attirer la convoitise des malfaiteurs. Et puisque les adresses gouvernementales sont facilement identifiables, elles sont particulièrement exposées. Nul doute que les webmails associés à ces adresses sont protégés de nombreuses manières, mais un hacker pourrait toujours espérer l’erreur humaine d’un fonctionnaire.
Comment les fonctionnaires de l’Intérieur ont-ils été visés ?
Justement, le 5 septembre, le JDD expliquait que plusieurs magistrats du tribunal de Paris s’étaient fait piéger par de « faux courriels », c’est-à-dire du phishing, avec pour conséquence le report d’affaires sensibles. Même le procureur de la République Rémy Heitz faisait partie des cibles, mais il n’a pas mordu à l’hameçon présenté par les cybercriminels. Le lendemain de l’article du JDD, le ministère de l’Intérieur a expliqué à son tour qu’il subissait une vague de phishing, et qu’il avait décidé de filtrer les documents Microsoft Word (les « .doc »), un des formats utilisés pour embarquer certains malwares, dont le fameux Emotet. Rien n’indique que les hackers ont utilisé la méthode que nous décrivons plus haut, mais ils auraient pu.
Dans notre base de données se trouvent plus de 2 000 adresses liées au ministère de l’Intérieur (.interieur.gouv.fr) et plus de 300 liées à celui de la Justice (.justice.gouv.fr). On y trouve aussi des adresses du ministère des Affaires étrangères (diplomatie.gouv.fr) et de l’Éducation nationale (education.gouv.fr) parmi des dizaines de sous-domaines différents. Il existe en tout plus de 1 000 sous-domaines de « .gouv.fr ».
Pour lutter contre l’exploitation de ces données, les administrateurs des boîtes email peuvent mettre en place des filtres particulièrement stricts, mais ils risquent de ralentir certaines utilisations du service d’email. Sauf que lorsque Emotet menace leur réseau, cette solution est préférable.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !