Les pirates informatiques tentent sans relâche de dérober les identifiants des politiciens et des ministères pour semer le chaos. Des hackers russes ont ainsi infiltré le réseau du Parti démocrate américain. Comment opèrent-ils ?
Avez-vous déjà reçu un e-mail d'un expéditeur inconnu vous annonçant un gain à la loterie, vous invitant à appeler un numéro étranger ? Ces messages truffés de fautes sont généralement ignorés et supprimés. C'est du hameçonnage classique, du nom anglais phishing, inspiré de la pêche.
"Ces attaques semblent souvent inoffensives, mais des variantes sophistiquées causent des dommages majeurs", explique Aiko Pras, expert en informatique à l'Université de Twente. Les hackers russes ont ainsi accédé aux e-mails des démocrates et n'ont été détectés que tardivement, selon la CIA.
Ces prodiges n'ont pas berné le parti avec une fausse loterie, mais via un hameçonnage ciblé, ou spear phishing (pêche au harpon). Contrairement au phishing massif, qui cible des milliers de personnes comme à la grenade, le spear phishing vise une cible précise, selon Elmer Lastdrager, chercheur à l'Université de Twente spécialisé dans ces attaques.
Les pirates étudient minutieusement leur victime, comme un politicien ayant accès à des dossiers sensibles. Ils analysent ses collègues, son style d'écriture et ses contacts. Cela peut prendre des semaines : se faisant passer pour un client ou un collègue sur les réseaux sociaux, ils rassemblent des données.
Puis, ils envoient un e-mail imitant parfaitement un collègue : "Voici les modifications finales du PV de réunion" avec une pièce jointe malveillante. Une fois ouverte, un malware s'installe discrètement, permettant un contrôle à distance de l'ordinateur.
"La chose la plus stupide est de penser que vous n'êtes pas à risque." Aiko Pras, expert en informatique (Université de Twente)
Le pirate récupère alors identifiants, e-mails et documents. Via l'accès au réseau interne du parti, il explore tout. "C'est très difficile à détecter, la victime ignore tout", ajoute Pras.
"Tout le monde est vulnérable. Un e-mail d'un 'doctorant' avec un nom connu mais une adresse légèrement modifiée passe inaperçu parmi des centaines d'autres", illustre-t-il.
Pras forme régulièrement les services de sécurité des grandes entreprises : "Il est presque toujours possible de pénétrer un système ou un bâtiment. Imaginez-vous déguisé en Père Noël le 5 décembre, ou feignant d'avoir perdu votre badge en fumant dehors."
Le spear phishing relève de l'ingénierie sociale, comme les arnaqueurs à la porte qui gagnent votre confiance. Cela touche partis politiques, entreprises et banques, selon Lastdrager.
Le butin varie : argent dans les banques, perturbation ou espionnage pour les gouvernements. Comme avec le Parti démocrate, où des fuites ont influencé les élections US.
"L'ingénierie sociale cible l'humain, le maillon faible, pas les prouesses techniques", note Lastdrager. Une équipe pirate : un via ingénierie sociale installe un malware (logiciel malveillant) conçu par d'autres, indétectable par les antivirus.
Avec les élections néerlandaises imminentes, Pras alerte : "C'est naïf de croire qu'aucun hacker étranger n'essaie. L'UE et Merkel ont déjà été piratés. Internet amplifie tout via fake news et réseaux sociaux."
Pour se protéger : sensibilisation, mots de passe forts et uniques, séparation des données sensibles. RTL Nieuws a récemment montré la faiblesse du mot de passe LinkedIn d'un politicien.
Si piraté ? Surveillez le trafic sortant : des gigabits anormaux signalent l'attaque, comme chez les démocrates. Agissez vite, mais acceptez les risques inhérents.
