Fait rare, les hackers qui se sont infiltrés chez l’éditeur de jeux vidéo Electronic Arts pour dérober 780 Go de données ont révélé à Vice comment ils s’y sont pris. D’abord, ils se sont connectés au compte Slack (la messagerie de l’entreprise) d’un des employés. Puis ils ont réussi à convaincre un responsable du département informatique d’EA de leur donner des accès au réseau interne de l’entreprise.

Pour parvenir à s’emparer du compte Slack, les cybercriminels ont fait leurs achats sur Genesis Market, un marché noir accessible uniquement sur invitation, que Cyberguerre avait visité en novembre 2020. Genesis ne propose qu’un seul produit à la vente, le « bot », à un prix compris entre quelques dizaines de centimes et plusieurs dizaines d’euros selon son contenu. Chaque « bot » comporte un lot d’informations sur une personne, ou du moins, sur un ordinateur.

Image d'erreur

Le site présente une liste de bots à la vente, avec de nombreuses informations. // Source : Capture d’écran Numerama

Les annonces précisent le pays du propriétaire des données, la date du vol ou encore le  nombre d’identifiants et à quels sites ils correspondent. Elles indiquent aussi le nombre de cookies attachés au navigateur : ce sont de petits fichiers que vous récupérez en visitant les sites. Certains sont utilisés à des fins publicitaires pour tracer les activités en ligne de l’utilisateur, d’autres permettent de rester connecter à un site sans avoir à renseigner identifiant et mot de passe à chaque nouvelle connexion.

Mais ce n’est pas le pire : les bots les plus complets permettent de recréer « l’empreinte navigateur », aussi appelée le « masque numérique », de la victime. Ce masque se compose de dizaines d’informations envoyées par votre navigateur aux sites sur vous avez visités. Par exemple, il prend en compte la taille de votre écran, celle de votre fenêtre de navigation, le fuseau horaire que vous avez sélectionné ou encore le type de clavier (azerty, par exemple, est rare à l’échelle mondiale). Cette combinaison a de grandes chances d’être unique, et permettra à certains sites de vous reconnaître.

Justement, sur Genesis, les malfaiteurs peuvent acheter de quoi recréer votre navigateur à l’identique. Concrètement, ils auront à la fois les identifiants de la victime, ses cookies d’authentification et un navigateur en tout point semblable au sien : de quoi berner l’écrasante majorité des barrières de sécurité.

Une attaque lancée avec 10 dollars

D’après Vice, les hackers auraient payé 10 dollars le bot utilisé pour s’infiltrer chez EA. Détail intéressant : sur les annonces, s’il est précisé qu’un bot contient ou non des identifiants pour Slack, il n’est pas précisé à quel espace Slack il permet de se connecter. Les cybercriminels pourraient donc avoir simplement eu un bon tirage dans l’achat de leur bot — et EA, un coup de malchance. En revanche, le marché permet de filtrer ses recherches de bot par URL : les malfaiteurs ont pu acheter plusieurs bots qui contenaient des identifiants pour Slack.

L’achat de bot a un autre avantage pour les malfrats : il permet, le plus souvent, d’éviter la barrière de la double authentification. Puisque les informations volées permettent de recréer le navigateur de la victime, la plupart des sites considèreront que l’utilisateur (en réalité, le malfrat) se connecte depuis un appareil connu. Résultat : ils ne demanderont que peu ou pas d’identifiants, surtout si le cookie d’authentification volé sur le navigateur de la victime est encore valide.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.