Ou quand une société gouvernementale de surveillance spécialisée en piratage… se fait pirater

Dimanche dernier, une société milanaise du nom de Hacking Team s’est fait prendre à son propre jeu. Un fichier torrent regroupant 400 Go de documents, communications et code internes a été téléchargé sur Internet par un hacktiviste anonyme.

Screen Shot 2015-07-09 at 3.15.33 PM

Il est préférable de ne pas se fier à Hacking Team.

La risée des États de surveillance dans le monde entier

Hacking Team est une société de surveillance utilisée par les agences gouvernementales dans le monde entier, notamment par des organismes étatiques en Russie, Éthiopie, Arabie Saoudite, Hongrie, Espagne ainsi qu’au Mexique et aux États-Unis. Aux vues de toutes les informations divulguées quant à l’ensemble de ses clients, Hacking Team exhorte ces derniers à cesser immédiatement d’utiliser son logiciel. En outre, la société s’efforce encore de reprendre le contrôle de son système de messagerie.

Et si le piratage ne suffisait pas à vous faire vous méfier des grands États de surveillance, certaines des informations compromises pourraient vous convaincre de le faire : parmi les mots de passe de clients divulgués, certains n’étaient autre que HTPassw0rd, Pas$w0rd et Passw0rd. Affligeant !

Le pire cauchemar des ingénieurs sécurité

L’entièreté des mots de passe – notamment ceux d’accès aux comptes bancaires, réseaux et aux réseaux sociaux d’une simplicité déconcertante –  créés par Christian Pozzi, l’ingénieur sécurité de Hacking Team, ont été divulgués. Son propre mot de passe d’administrateur : Kittens (chatons en anglais)…

Si vous cherchiez encore une raison pour douter des motifs des agences gouvernementales et de leurs aptitudes en matière de surveillance, ce fiasco sécuritaire vient ajouter une belle pierre à l’édifice.

Les principaux gouvernements les plus influents du monde ont engagé une société qui ne respecte pas elle-même les principes de base de la création de mot de passe. Plus important encore, il s’agit de LA société à laquelle les gouvernements ont choisis de confier des informations hautement sensibles.

Naturellement, Pozzi clame haut et fort que le fichier divulgué renferme des logiciels malveillants, Il a par ailleurs menacé de traîner devant la justice les pirates anonymes. Son compte Twitter a ensuite été piraté et a depuis été supprimé, toutefois vous pouvez en consulter ici une archive.

Un gouffre sans fond

Un des aspects les plus intéressants de cet incident est qu’il nous permet de porter un regard critique avisé sur la façon dont les entreprises comme Hacking Team fonctionnent. Et ce que nous découvrons n’est vraiment pas reluisant… Hacking Team, tout comme de nombreuses agences gouvernementales, s’efforçait de lister les failles des produits logiciels pour compromettre les systèmes. Et ce, sans aucune intervention externe d’aucun utilisateur.

Il n’est donc pas surprenant que, quelques heures seulement après que le scandale n’ait éclaté, de nombreux cybercriminels aient adapté leurs outils malveillants afin d’exploiter lesdites failles et ainsi cibler des millions d’utilisateurs non protégés. En outre,  il a été découvert que le panneau de commande et contrôle des produits de Hacking Team renferme des programmes  pouvant permettre à quiconque de placer sur un système compromis des preuves jugées comme discriminatoires telles que de la pédopornographie ou des plans de construction d’une bombe  :

place_prn

La façon de procéder de Hacking Team n’est vraiment pas reluisante.

Tous ces éléments à charge ne peuvent que renforcer dans leurs convictions les opposants aux logiciels espions gouvernementaux puisque les logiciels malveillants utilisés par les agences gouvernementales à des fins de surveillance et de collecte de preuves peuvent facilement être utilisés pour placer lesdites preuves jugées discriminatoires. Par conséquent, nous pouvons aller jusqu’à douter de la véracité de toute preuve recueillie par le biais de tels moyens.

Le début de la fin pour Hacking Team

Screen Shot 2015-07-09 at 3.15.21 PM

Le mal est fait. Hacking Team devra surmonter dès aujourd’hui de nombreux obstacles.

Indépendamment de ce que Hacking Team fasse à partir de maintenant, le mal est fait. Et nous parlons non seulement en termes de la quantité d’informations internes et d’informations clients compromises (des clients importants comme l’armée de la Corée du Sud et le Federal Bureau of Investigation des États- Unis), mais parce qu’ils devront rendre de sérieux comptes à la justice. En effet, Hacking Team a toujours nié avoir fait affaires avec le Soudan, et pourtant les informations divulguées prouvent le contraire. Ce partenariat potentiel est en contradiction complète avec l’embargo sur les armes imposé par l’ONU envers le Soudan, qui comprend une clause interdisant toute « assistance technique ».

 

Bien que cette histoire n’en soit qu’à ses débuts, peut-être il vous plaira d’ores et déjà d’en découvrir davantage sur Hacking Team. N’hésitez alors pas à consulter la page dédiée à Hacking Team sur le site de Reporters sans frontières. Vous pouvez également parcourir le diaporama reprenant toutes les informations piratées ici, courtoisie de CSO en ligne.

En quoi cela me concerne-t-il ?

Internet, et par là-même les pirates et les organismes gouvernementaux, ne peuvent surveiller, stocker et analyser que les informations qu’ils reçoivent de différentes sources. Il est donc inadmissible qu’ils recourent à des logiciels malveillants pour accéder à tout type de communication ou de de données privées d’entreprise. Généralement toutefois, les projets gouvernementaux impliquant l’utilisation de logiciels malveillants ne tardent pas à être découverts et révélés au grand public… et c’est tout aussi bien.

L’utilisation de mots de passe compliqués, de méthodes de communication cryptées et de logiciels de sécurité dignes de confiance est votre première ligne de défense. Pensez à procéder régulièrement à la mise à jour de votre système d’exploitation, au nettoyage de vos comptes de messagerie (par exemple en déplaçant vos anciens mails vers un dispositif de sauvegarde locale au lieu de tout stocker en ligne) et à la modification de vos mots de passe.

Vous restez essentiellement maître de ce que vous choisissez de partager sur Internet avec le reste du monde. Et c’est pour cela qu’il convient de rappeler que vous êtes, avant tout, le gardien de votre propre vie privée.

Nous vous souhaitons une excellente journée, sans surveillance malveillante !

Fran Rajewski

Fran Rajewski

What to read next

Newsletter

Les logiciels malveillants, c’est 24h/24, 7j/7. Ne manquez aucune actualité sur les dernières menaces en date

Emsisoft > Blog > Malware Lab > Alertes - Menaces > Ou quand une société gouvernementale de surveillance spécialisée en piratage… se fait pirater