Ministère de l’Intérieur : l’intrusion revendiquée par les opérateurs de BreachForums

Le forum BreachForums bien connu des cybercriminels – ainsi que des forces de l’ordre et des chercheurs, notamment – est une énième fois de retour. Et bien sûr, pas sans provocation.

Dans un message publié samedi 13 décembre, l’un des administrateurs du forum pointe directement les autorités françaises, évoquant les arrestations de l’été dernier, dans l’Hexagone.

Et de revendiquer, bravache, d’avoir « pleinement compris », à titre de revanche, « le ministère Français de l’Intérieur ». Ce qui a permis aux pirates d’accéder aux données de police de plus de 16,4 millions de personnes, entre fichier de traitement des antécédents judiciaires et fichier des personnes recherchées, notamment. Surtout, l’administrateur du BreachForums nouveau dit avoir également réussi à s’inviter dans les systèmes de la DGFIP et de la CNAV : « pourquoi ne dites-vous pas au peuple français et au monde ce qui s’est réellement passé au cours de ces deux semaines ? ».

La semaine dernière, le ministère de l’Intérieur a reconnu une intrusion limitée, évoquant des « activités suspectes visant ses serveurs de messagerie », mais rien de plus.

Les opérateurs de BreachForums semblent avoir cherché à profiter de cette déclaration pour donner du poids à leurs nouvelles allégations. De fait, ils ont notamment annoncé la réouverture du forum par e-mail… en utilisant une adresse non nominative du ministère de l’Intérieur comme adresse d’expéditeur.

Mais selon les informations à notre disposition, cet e-mail ne semble pas avoir été expédié depuis les serveurs du ministère : c’est un spoofing, une usurpation d’identité de l’expéditeur. Les en-têtes de message qui nous ont été fournies montrent que le courriel a été en réalité expédié en utilisant Amazon Simple Email Service (SES).

[Correction le 18 décembre] Amazon SES requiert une authentification, soit au niveau du nom de domaine, soit au niveau de l’adresse de courrier électronique qui sera présentée comme celle de l’expéditeur. Il n’y a donc pas eu spoofing : la personne qui a envoyé le courriel via Amazon SES avait donc bien, au préalable, accès à la boîte de messagerie correspondante. 

DMARC a bien été configuré sur le nom de domaine du ministère de l’Intérieur, avec une réserve toutefois, qui a pu jouer en faveur des usurpateurs : le réglage « policy », qui indique aux serveurs en réception quel traitement réserver aux usurpateurs, a été à « none », et non pas « quarantine » ni « reject », laissant le soin au destinataire d’un mail usurpateur de le traiter lui-même, manuellement.