Cleptogiciels : une menace persistante qui se rappelle encore à nous

Après quelques mois de silence, le groupe Stormous vient de revendiquer un vol de données sur les systèmes de France Travail, ou encore de Volkswagen, et même du gouvernement français.

Dans ce dernier cas, Stormous a répété des allégations déjà formulées en juin. A l’époque, le groupe s’était fait remarquer en affirmant avoir attaqué l’Éducation Nationale. Sa dernière affirmation relative à Volkswagen rappelle, quant à elle, celle déjà formulée fin mai dernier à l’encontre du constructeur automobile.

Ces allégations renvoient à d’autres, notamment celles selon lesquelles Google aurait été victime d’une brèche concernant 183 millions de comptes. Le géant du Cloud a dû corriger en pointant des « informations inexactes proviennent d'une mauvaise compréhension des bases de données des cleptogiciels, qui compilent régulièrement diverses activités de vol d'identifiants sur le Web. Elles ne reflètent pas une nouvelle attaque visant une personne, un outil ou une plateforme en particulier ».

De la même manière, Have I Been Powned a récemment reçu un jeu de données d’authentification, de la part de Synthient, de 3,5 To pour 23 milliards de lignes : 92 % des adresses e-mail contenues avaient déjà été vues dans d’autres jeux de données. Il y a une bonne raison à cela.

Toutes ces données proviennent vraisemblablement de combolists constituées en tout ou partie à partir des innombrables logs d’infostealers partagés quotidiennement, gratuitement, et à tous les vents sur de multiples chaînes Telegram plus ou moins spécialisées.

Car il y a les logs de cleptogiciels, et il y a les listes plus ou moins nettoyées, traitées, formatées, consolidant les données d’authentification de dizaines de milliers, centaines de milliers, de comptes prêts à être compromis à l’insu de leurs propriétaires. 

Pour mémoire, ces maliciels sont spécialisés dans le vol de données d’authentification dans les navigateurs Web. Ils sont notamment cachés dans de vrais-faux logiciels piratés, de vrais-faux correctifs et autres prétendues mises à jour, ou encore mods de jeux vidéo, voire jeux vidéo indépendants eux-mêmes. C’est selon les publics visés.

Avec les identifiants volés, la frontière entre vie personnelle et vie professionnelle s’efface. Dans ce contexte, pas de doute, de nombreuses victimes en devenir s’ignorent encore, et pas que des rançongiciels.

La rentrée scolaire de janvier 2023 en avait donné une impressionnante illustration. Des menaces d’attentat étaient diffusées via les espaces numériques de travail (ENT). Elles concernaient une vingtaine d’établissements scolaires. Pas la moindre substance explosive n’avait été trouvée dans les établissements concernés.

Les menaces émanaient d’un compte ENT d’un élève, piraté, à l’aide d’identifiants dérobés par cleptogiciel. L’Éducation Nationale avait par la suite lancé une vaste campagne de sensibilisation sur cette menace. Tout sauf un luxe.

Entre novembre et décembre 2022, plusieurs incidents de sécurité avaient frappé des établissements de l’enseignement supérieur, avec un point commun : ils avaient tous commencé par un détournement de compte utilisateur permettant d’accéder à distance à des ressources du système d’information. Et régulièrement, mois après mois, le CERT Renater fait état de détections de cleptogiciels.