Comment des pirates ont déjoué la sécurité de Microsoft et créé des millions de faux comptes

Publié le 21/12/2023 à 14:18, mis à jour le 21/12/2023 à 14:28

Comment des pirates ont déjoué la sécurité de Microsoft et créé des millions de faux comptes

Publié le 21/12/2023 à 14:18, mis à jour le 21/12/2023 à 14:28

Par AFP

Il existe de nouvelles techniques comme l'authentification multifacteurs, avec des codes reçus par SMS par exemple, mais elles risquent de ne pas durer très longtemps avant de voir des pirates trouver leur faille. (Photo: 123RF)

Est-ce que les systèmes d'authentification utilisés sur internet pour garantir que l'internaute est bien un être humain sont si fiables que ça? La question se pose après la découverte récente par Microsoft d’un groupe de pirates qui montre les failles des très utilisés «captcha».

Microsoft a révélé qu'un groupe de pirates informatiques nommé Storm-1152 avait vendu 750 millions de faux comptes Microsoft pour permettre à des cybercriminels d'opérer en ligne. Voici un tour d'horizon du caractère inédit de cette affaire.

 

De quoi parle-t-on?

Storm-1152 est un groupe pirate soupçonné d'être piloté depuis le Vietnam. Il a fondé son action sur le contournement automatisé de tout ce qui permet d'éviter l'authentification requise lors de la création de comptes Microsoft.

Leur cible favorite, les «captcha», ces fenêtres — très utilisées sur le web — demandant de reproduire une série de lettres ou de chiffres, ou de cliquer sur les parties d'une image montrant un bus ou un escalier, afin d'assurer au site internet qu'il n'a pas affaire à un simple robot.

Mais cette procédure d'authentification commence à dater et Storm-1152 a trouvé la manière de la contourner, l'a automatisée et a pu créer des millions de faux comptes.

Pour y parvenir, il y a sûrement eu derrière «un peu de machine learning», c'est-à-dire que ces pirates ont appris à leur outil de piratage où cliquer au bon endroit quand une image de vérification s'affiche, explique François Deruty, expert de la société de cybersécurité Sekoia.

Storm-1152 vendait ensuite sur un site ces faux comptes aux personnes voulant conduire des attaques, comme des mails d’hameçonnage, des rançongiciels ou des attaques de serveurs via un déni de service pour rendre une page inaccessible, selon François Deruty.

 

Ce groupe était-il connu?

Son nom était connu et, si d'autres pays comme la Chine, la Russie, l'Iran et la Corée du Nord font plus souvent les gros titres en matière de piratage informatique, le Vietnam a des groupes de pirates qui font chaque année des progrès, à l'instar de l'Inde ou la Turquie, précise François Deruty.

Microsoft a fait bloquer une partie de leurs sites sur le sol américain, par une décision d'une cour fédérale ayant autorisé à fermer les serveurs qui les hébergeaient.

«Mais ils ont sûrement d'autres sites qui sont déployés ailleurs et qu'il faudra faire fermer par une coopération internationale, ce qui arrive régulièrement», anticipe l'expert.

 

Dispose-t-on d'une parade contre ses techniques?

Il existe de nouvelles techniques comme l'authentification multifacteurs, avec des codes reçus par SMS par exemple, mais elles risquent de ne pas durer très longtemps avant de voir des pirates trouver leur faille.

Avec d'autres méthodes comme les clés de sécurité fournies par les banques, la sécurité est plus élevée, mais déployer ces nouveaux moyens coûte cher et prend du temps, alors que Microsoft maintient encore des versions anciennes de ses différents logiciels.

 

Sur le même sujet

Microsoft intègre l’IA générative directement dans ses PC

20/05/2024 | AFP

Selon Microsoft, plus de 50 millions de «PC IA» seront vendus dans les douze mois à venir.

Le Québec peut devenir un leader en matière d'IA responsable

COURRIER DES LECTEURS. «C’est maintenant que le Québec a un rôle primordial à jouer.»

OPINION Éviter les débordements de coûts en infonuagique
Édition du 10 Avril 2024 | Jean-François Venne
Transformer le nuage en coffre-fort
Édition du 10 Avril 2024 | Jean-François Venne
Entreprises cherchent experts en infonuagique
Édition du 10 Avril 2024 | Jean-François Venne

À la une

Maîtriser l'art du budget vacances

EXPERT INVITÉ. L'élaboration et le respect d'un budget de vacances ne se limitent pas à l'analyse de chiffres.

Comment se protéger légalement en cas de divorce?

Il y a 45 minutes | WelcomeSpaces.io

LE COURRIER DE SÉRAFIN. «Je me marie et souhaite mieux comprendre les lois sur les régimes matrimoniaux.»

Quand la Bourse fait office de casino

EXPERT INVITÉ. Comme le casino ou l’achat de billets de loterie, la Bourse sert régulièrement de plateforme spéculative.