Le hacker russe Yevgeniy Nikulin vient d'être jugé coupable aux États-Unis pour deux des plus grosses fuites de ces 10 dernières années. Entre mars et mai 2012, il est parvenu à récupérer les données de 117 millions d'utilisateurs de LinkedIn et de 68 millions d'utilisateur de Dropbox.

La justice américaine lui attribue les gigantesques fuites de données de Dropbox et de LinkedIn. Le hacker russe Yevgeniy Nikulin vient d’être jugé coupable lors d’un procès tenu en Californie le 10 juillet, comme l’a rapporté ZDNet. Pourtant, un juge pointait le manque de preuves de l’accusation, qui était soutenue par le gouvernement américain. Il faudra attendre fin septembre pour que la condamnation soit prononcée.

Les deux fuites de données ne sont connues que depuis 2015 et 2016, mais sont le résultat de deux opérations réussies coup sur coup par le hacker, entre mars et mai 2012. Elles ont permis à Nikulin de devenir riche, mais elles ont aussi mené à son arrestation en 2017.

Le hacker russe a réalisé deux des plus gros coups en l’espace de deux mois. // Source : Louise Audry pour Numerama

La fuite de LinkedIn, de l’or en barre pour les cybercriminels

Entre le 3 et le 4 mars 2012, Nikulin a réussi à infecter l’ordinateur d’un employé de LinkedIn avec un malware. Le logiciel malveillant lui a permis d’utiliser le VPN d’entreprise de l’employé afin de s’immiscer sur le réseau interne du réseau social. Il y a dérobé les dossiers de 117 millions d’utilisateurs, qui contenaient entre autres leur nom d’utilisateurs leur email et surtout, leur mot de passe. Plus d’un tiers des comptes LinkedIn étaient compromis.

Ce joli pactole de données pouvait s’échanger contre un joli pactole d’argent sur les marchés noirs. Et pour cause : les possibilités malveillantes permises par cette fuite étaient presque sans fin. Elle permettait de voler un compte LinkedIn, voire une adresse professionnelle en cas de réutilisation de mot de passe. Une fois ce premier vol effectué, les cybercriminels pouvaient lancer du phishing à partir de comptes ou de messageries de confiance. Par exemple, ils pouvaient piéger des employés à faire un virement bancaire frauduleux en se faisant passer pour un dirigeant, ou faciliter la propagation d’un rançongiciel à partir d’une adresse d’autorité.

Pour les cybercriminels, l’achat de l’exclusivité sur la base était la quasi-garantie de multiplier sa mise par un très grand nombre. Voilà pourquoi le jeu de données a mis plus de trois ans avant d’être repéré. Il est passé de main en main, revendu à un nombre toujours plus grand de cybercriminels jusqu’à atterrir sur les forums de hackers les plus populaires.  Pendant que les données faisaient leur chemin sur la chaîne de revente, Yevgeniy Nikulin roulait en voitures de luxe.

Une fuite en nourrit une autre

Avant de vendre les données, le hacker russe les a utilisées à son propre avantage pour envoyer un phishing personnalisé à des employés d’autres entreprises. Son lancer de filet a fonctionné, puisqu’il a obtenu l’accès au compte d’un salarié de Dropbox, à partir duquel il a eu accès aux données de l’entreprise. Entre le 12 mai et le 25 juillet (d’après les autorités), il a ainsi récupéré des informations sur plus de 68 millions d’utilisateurs de Dropbox.

Cette fuite avait la même typologie que celle de LinkedIn : noms d’utilisateurs, emails, et mots de passe. Mais cette fois, les mots de passe étaient hachés, protégés par une couche de chiffrement. Malheureusement, certains logiciels permettaient de retrouver le mot de passe.

Les fuites n’ont plus de valeur aujourd’hui

Encore une fois, les données avaient une valeur inestimable. Certaines entreprises avaient placé leurs données confidentielles sur le service de stockage. De quoi alimenter toutes sortes d’actes malveillants : espionnages industriels, chantage, phishing, rançongiciel…

Nikulin a terminé son braquage avec le vol des données de 30 millions d’utilisateurs de Formspring (un réseau social disparu peu après) en juin, encore une fois grâce aux données de LinkedIn. Aujourd’hui, ces fuites sont accessibles gratuitement, car elles n’ont plus beaucoup de valeur. Elles ont déjà été exploitées par plusieurs vagues de cybercriminels, et les données sont périmées. En 2016, LinkedIn avait réinitialisé le mot de passe de tous les utilisateurs qui ne l’avaient pas changé depuis 2012.

Nikulin, quant à lui, a déjà passé trois ans en prison, et il pourrait écoper d’une longue peine, d’autant plus que les autorités américaines voulaient lui attribuer d’autres actes cybercriminels.

Crédit photo de la une : Pixabay

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux