Localisation : Égypte. Cibles : défenseurs des droits de l’Homme, médias et sociétés civiles. Attaquant : le gouvernement d’Abdel Fattah al-Sissi. Type d’attaque : « OAuth phishing ». En résumé, c’est peu ou prou ce que l’on doit retenir du billet de blog publié par l’Organisation non gouvernementale internationale (OGNI) Amnesty International, qui se fait l’écho d’une cyberattaque menée par les autorités du pays.
La ville du Caire. // Source : Crédit image : Marwa Morgan via Flickr.
Depuis son coup d’État militaire en juillet 2013, suivi d’une élection présidentielle organisée en mai 2014 qu’il remporte haut la main — mais contestée –, le président Abdel Fattah al-Sissi a progressivement durci les politiques numériques du pays. Réélu en mars 2018 avec plus de 90 % des voix, Sissi pourrait d’ailleurs continuer d’exercer son poste après son second mandat, pourtant interdit par la loi, mais en cours de modification.
Cette réforme de la Constitution égyptienne devrait d’autant plus inquiéter les membres d’Amnesty International. Ces derniers mettent en effet en cause le pouvoir exécutif dans le cadre d’une campagne de cyberattaques planifiée entre janvier et février 2019. L’objectif : accéder aux boîtes mail des cibles susmentionnées, par le biais d’une attaque de « OAuth phishing ». Au total, plusieurs centaines d’internautes auraient été visées.
Une concomitance douteuse
« Les attaques semblent faire partie d’une stratégie plus large, menée dans le cadre d’une répression sans précédent par le même groupe de personnes qui a transformé l’Égypte en une prison à ciel ouvert », fustige l’organisation. Et de poursuivre : « Grâce à l’identité des cibles identifiées, le timing des attaques et leur coordination apparente, nous avons conclu qu’elles ont très probablement été organisées par ou pour les autorités égyptiennes ».
Amnesty International met ainsi en avant la concomitance des attaques avec des événements politiques spécifiques : 11 tentatives de « OAuth phishing » contre des OGN et des sociétés de gestion de médias ont été enregistrées à l’approche du huitième anniversaire du soulèvement du 25 janvier ; une autre vague aurait été été lancée les 18 et 19 janvier 2019, dates auxquelles le président français Emmanuel Macron s’est rendu en visite au Caire.
Le président égyptien al-Sissi et le secrétaire d’état à la Défense américain Jim Mattis, en 2017 // Source : Jim Mattis via Wikipedia
Ce déplacement diplomatique a d’ailleurs été l’occasion pour M. Macron de rencontrer des défenseurs des droits de l’Homme de quatre grandes ONG égyptiennes, le 29 janvier. Soit le jour même où les attaques se sont particulièrement intensifiées. Début février, plusieurs médias ont rejoint la liste des victimes, alors qu’ils entreprenaient la rédaction d’un rapport sur un processus d’amendement de la Constitution.
Le OAuth phishing, quésaco ?
L’ensemble de ces éléments a donc poussé Amnesty International à réagir, et surtout à sortir de son silence. Le mouvement en a d’ailleurs profité pour détailler le procédé utilisé par les hackers : un « OAuth phishing », une technique huilée et encore plus crapuleuse qu’une attaque de phising classique. Pour comprendre les rouages de cette cyberattaque, attardons-nous tout d’abord sur la notion de token d’authentification, l’une des pièces maîtresses de l’« OAuth phishing ».
Un token d’authentification, qu’est-ce que c’est ? Aussi traduit jeton d’authentification, il permet de se connecter à une API publique ou privée, ou à une ressource spécifique, sans utiliser, à chaque reprise, un nom d’utilisateur et mot de passe. Le site sur lequel l’internaute souhaite se connecter enregistre son jeton, avec lequel l’utilisateur peut se connecter dessus.
Pour les hackers, ce système leur donne l’opportunité non pas de dérober le mot de passe de leur cible, mais plutôt de voler le token d’authentification pour accéder à certaines données personnelles. Et c’est justement ce processus qui a été privilégié dans cette affaire révélée par Amnesty International.
Quand (le vrai) Google tirait la sonnette d’alarme
Pour ce faire, les attaquants ont envoyé un email d’alerte Gmail à l’utilisateur visé, en l’invitant à appliquer une nouvelle mise à jour de sécurité à son compte Google. En se faisant bien évidemment passer pour la firme de Mountain View par le biais d’un email particulièrement bien imité. La victime n’avait plus qu’à cliquer sur « Mettre à jour ma sécurité maintenant », et était invitée à se connecter à l’un de ses comptes existants.
Capture d’écran d’Amnesty International
Elle tombait ensuite sur une page où une application tierce (Secure Email en l’occurrence, celle des hackers) leur demandait l’accès à leur compte. Une fois cet accès validé, les voleurs ont en leur possession le token d’authentification qui leur permet d’accéder à la boîte mail. Ce genre d’attaque se veut tout particulièrement infaillible, puisque l’utilisateur est redirigé vers la page officielle des paramètres de son compte Google, réduisant encore plus le moindre soupçon.
Si l’attribution de cette attaque ne peut être prouvée, Amesty International apporte, il est vrai, un certain nombre d’éléments suspicieux quant à l’identité de son auteur. D’autant plus lorsque certaines cibles disent avoir reçu un email d’avertissement de la part de Google, les alertant que « des attaquants soutenus par le gouvernement ont tenté de voler [leur] mot de passe ».
Toujours est-il que plusieurs défenseurs des droits de l’homme, médias et sociétés civiles ont fait l’objet d’une attaque informatique, eux dont les causes se heurtent à un gouvernement de plus en plus autoritaire au fil des mois passés. Des causes qui semblent visiblement gênées. Toutes les solutions d’intimidation sont dans ce cas envisagées : la cyberattaque, en l’occurrence, reste peut-être la plus discrète, et parfois la plus efficace.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
.jpg){kind=link}