Ceux qui n’étaient pas ceux que l’on croyait (1/3)
En mai 2017, cette entreprise londonienne est victime d'une tentative d'extorsion. Une attaque signée Rex Mundi dans le mail.
Bonsoir,
Bienvenue pour ce nouvel épisode de Pwned. Ce soir, on va parler de l’histoire d’un copycat, ces imitateurs qui s’inspirent d’autres criminels. Ce genre de scénario assez caractéristique du monde flou du web rappelle d’ailleurs une nouvelle fois que l’attribution d’une attaque informatique est un sport périlleux.
Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
Si vous parlez de mai 2017 à un professionnel de la sécurité informatique, il va forcément penser à WannaCry, l’une des plus grandes vagues d’attaques mondiales. Mais ce n'est pas la seule chose qui s'est passée en cyber en 2017. Allons donc voir ce spécialiste de la carte bancaire prépayée basé dans la City londonienne.
Oh, évidemment, ce qui lui est arrivé a une envergure bien plus modeste. Cependant, cette histoire en dit quand même long sur l’accessibilité des outils malveillants, sur la façon dont peuvent coopérer des cybercriminels entre eux et sur la difficulté de l’attribution d’une attaque. C’est d’ailleurs ce dernier point qui est la controverse de cette histoire, le thème des épisodes de cette saison de Pwned.
Bref, ce 17 mai 2017, il se passe quelque chose de louche dans l’informatique de cette entreprise britannique. Ses informaticiens constatent un nombre anormalement élevé de tentatives d’accès aux comptes clients. Cela ressemble à un “bruteforce”, cette attaque où toutes les combinaisons possibles de mots de passe sont testées à la volée.
Et c’est assez fructueux : environ 1400 comptes (on ignore le nombre total de comptes visés) sont compromis, soit autant de codes pin qui ont été identifiés. L'attaque est menée grâce à un petit script qui teste les 10000 combinaisons de mots de passe à quatre chiffres possibles. La faille de sécurité évidente ici, c’est qu’on peut tester toutes les combinaisons sans être arrêté.
Ce serait un bon résultat pour l’attaquant s’il n’avait pas été repéré. Mais peut-être que justement, il ne cherchait pas à être particulièrement discret? Car le lendemain, l’entreprise londonienne reçoit un sinistre mail qui débute par un menaçant “You are hacked, you are hacked”, s’il n’avait pas encore compris.
L’expéditeur déroule ensuite un argumentaire d’extorsion assez classique. S’il remarque ironiquement que la mise en place récente d’un captcha a pu améliorer la sécurité informatique de l’entreprise, l’attaque informatique prouve que celle-ci laisse encore à désirer. Alors, que préfèrent donc les dirigeants? La ruine, la banqueroute, ou l’amélioration de leur sécurité?
Le mail ne fait pas dans la dentelle. S’ils ne cèdent pas au chantage, les patrons s’exposent à une divulgation de la faille utilisée sur des forums de hackers, des campagnes d’arnaque visant les comptes déjà compromis, la mise sur la place publique de tous ces ennuis informatiques, le tout accompagné, cerise sur le gâteau, d’une attaque en déni de service de grande envergure.
Au contraire, si les dirigeants font un petit chèque en crypto de 500 000 livres sterling (le prix du silence sur cet incident gênant) ou de 730 000 (le silence plus la recette du correctif de sécurité), on pourra passer à autre chose. Ah, et oui, ces sommes augmenteront de 185 000 livres sterling par 24 heures, donc mieux vaut pas réfléchir trop longtemps. Je vous laisse faire la conversion en euros, mais ça fait un paquet d’argent.
Dans ce genre d’histoire, la crédibilité de l’expéditeur est importante pour éviter que le message ne parte directement à la poubelle. Ici, il y a tout d’abord l’attaque par bruteforce qui été repérée. L'auteur du message se présente ensuite comme le représentant d’un groupe de hackers spécialisés dans le rançonnage informatique. La dénomination de l’adresse mail tient lieu de signature. Il s’agit visiblement de hackers du groupe Rex Mundi.
Active depuis au moins 2012, cette organisation criminelle s’est spécialisée dans l’extorsion. Ele menace de faire fuiter des données si elle n’est pas payée. Un matin de mars 2015, un laboratoire d'analyses médicales en a ainsi fait les frais : “on a reçu un courriel du groupe de pirates Rex Mundi expliquant que notre base de données avait été piratée, qu’ils avaient récupéré les mots de passe et identifiants de nos patients ainsi que sept résultats d’analyse”, racontait par exemple dans le Figaro un représentant de la société
Contrairement à l’exemple de l’entreprise de la City cité plus haut, les rançons demandées par le groupe signalées dans la presse sont relativement modestes, quelques dizaines de milliers d’euros. On n’est pas encore dans l’ère extravagante du rançongiciel et ses tentatives d’extorsion en millions d’euros. Ce n’est pas la seule différence notable : le groupe a par exemple des comptes twitter qu'ils utilisent pour communiquer sur leurs actions. Ces derniers sont régulièrement suspendus, alors que les gangs actuels préfèrent des sites en .onion plus discrets.
Rex Mundi va avoir sa petite notoriété, suscitant l’intérêt de la police et des médias. “Il peut y avoir une ou mille personnes derrière le vocable Rex Mundi”, avoue en 2013 dans Le Soir (désolé, il n’y a pas d’archive en ligne de cette interview) le commissaire Laurent Bounameau, alors le chef de service adjoint de la Federal Computer Crime Unit belge.
“Ils agissent toujours de la même manière, il y a donc pour moi un groupe de personnes qui commettent ces actes, poursuit-il. Mais d'autres personnes peuvent aussi commettre les mêmes actes, avec les mêmes modus operandi, et se faire passer eux aussi pour Rex Mundi puisqu'il y a par exemple deux fils twitter différents.”
Le commissaire a clairement en tête l’hypothèse de plusieurs copycat agissant sous une même bannière. Confondre à tort ensemble des piratages commis par des groupes différents est un risque courant quand il s’agit d’attaques très médiatisées. C'est très facile de se revendiquer de l’assaillant et d'imiter son mode opératoire, s’il est connu. Pour les enquêteurs, le diable se niche donc dans les détails.
Les hackers de Rex Mundi s’expriment en anglais. Mais ils ont un tropisme francophone, outre leur nom (les rois du monde en latin), caractérisé par le choix des cibles. Ce sont des organisations bien de chez nous, comme la banque franco-belge Dexia, Thomas Cook Belgium, la société de conseil belge Mensura, le fournisseur d'accès Numéricable ou encore la banque cantonale de Genève.
Une petite parenthèse : si les groupes de cybercriminels utilisent aujourd’hui des noms anglophones - par exemple LockBit ou BlackCat -, il fut un temps, avant Google Translate et compagnie, où les barrières de la langue cloisonnaient bien plus le web (et les activités des hackers malveillants donc) qu’aujourd’hui.
Bref, les polices européennes sont dans le flou. Mais en mai 2017, il y a un fil intéressant dans l’affaire de la tentative d’extorsion de l’entreprise de la City. L’un des maîtres chanteurs a laissé derrière lui un indice compromettant.
On en parle la semaine prochaine,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer un café c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
WannaCry, un an après : aux origines d’une des plus grandes cyberattaques de tous les temps
Cyberattaques : pourquoi vos données de santé sont si fragiles et convoitées
Chantage Internet : Rex Mundi diffuse des données d’internautes belges
Des pirates informatiques font chanter la BCGE
Google Translate : la traduction en temps réel ou en réalité augmentée est là