Connexion
Abonnez-vous

Un banal phishing à l’origine du piratage en Caroline du Sud

Sweet Caroline

Un banal phishing à l'origine du piratage en Caroline du Sud

Le 22 novembre 2012 à 11h12

Le 29 octobre, nous relations dans nos colonnes que la Caroline du Sud avait été victime d’un vol conséquent de données : des millions de numéros de sécurité sociale avaient été pillés par des pirates. On en sait désormais davantage sur la manière dont ces derniers ont procédé.

Nikki HaleyOn sait désormais que, tentatives d’intrusions mises à part pour tester le système, l’élément déclencheur est survenu le 13 août. Ce jour-là, un employé, dont le nom n’a pas été cité, a reçu un email. Il s’agissait d’un cas très classique de phishing, mais spécifique à la situation de l’employé de l’office de gestion des impôts : embobinée, la victime est arrivée sur un faux site demandent de confirmer ses identifiants… professionnels.

 

Il s’agissait de la première étape d’un plan qui a abouti un peu plus tard au vol d’autres identifiants d’employés. La finalité était d’obtenir les droits nécessaires à l’accès à au moins un serveur dans le but d’y placer plusieurs dizaines de malwares et autres applications (33 exactement). Ce sont ces derniers qui ont opéré le travail de collecte puis d’expédition des données. L’essentiel du vol s’est déroulé sur les 13 et 14 septembre à travers huit accès aux serveurs. Malheureusement pour les victimes, l’action des pirates recoupait un ensemble de mauvaises pratiques de sécurité, et les têtes sont tombées.

 

Dans une conférence de presse donnée hier, la gouverneur de Caroline du Sud, Nikki Haley, a donné de nombreuses informations. Elle a ainsi confirmé le chiffre impressionnant de 5,7 millions de personnes touchées par les fuites de numéros de sécurité sociale. Sur l’ensemble des personnes, 3,3 sont concernées également par un vol d’informations bancaires. Les banques sont au courant et ont reçu pour consignes de surveiller de près les accès frauduleux. Côté entreprises, 700 000 sont concernées pour l’instant. Au total, ce ne sont pas moins de 75 Go de données qui ont été volées.

 

Puisque l’État avait mis en place un programme de souscription à une protection des données personnelles, Haley en a profité pour préciser que plus de 843 000 personnes avaient à ce jour souscrit à ces abonnements gratuits valables un an. Une compensation qui va rapidement s’avérer onéreuse pour la Caroline du Sud puisque la facture s’élève pour l’instant à 12 millions de dollars.

 

Mais la gouverneur a vertement vilipendé la sécurité entourant l’agence de collecte des impôts. Elle a par exemple relevé l’absence de mise en place d’une double authentification. Elle a également critiqué l’agence pour son  système informatique qui n’a guère changé dans ses fondations depuis les années 70 (sic). Autre constat grave : toutes les données antérieures à 1998 n’étaient tout simplement pas chiffrées. Parmi les conséquences, la gouverneur a précisé avoir accepté la démission du directeur de l’agence, Jim Etter. Un départ qui sera effectif à la fin de l’année.

 

De grands travaux vont être menés sur les infrastructures de l’État pour la collecte des impôts. La première étape sera le chiffrement complet des données. En outre, se dessinera prochainement une procédure de gestion des crises de ce type, à la manière des alertes tempêtes.

Commentaires (22)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







romjpn a écrit :



Pareil. Mais une regle simple s’impose. A partir du moment ou l’on te demande des identifiants par e-mail, tu ne les donne pas. <img data-src=" />







Ca n’est pas le cas. Le phishing est ainsi fait :




  • Email très bien fini, avec du décors qui ressemble à un vrai email de demande d’info, suivi d’un lien pour aller sur “le site officiel”.

  • “le site officiel”, copie exacte du site original ou les identifiants sont demandés.



    La personne, de bonne foi, tape ses identifiants, si la page est bien faite elle redirige sur l’originale, la personne croit avoir mal entré ses identifiants, elle les re-saisis, et c’est fini.


votre avatar
votre avatar







patos a écrit :



Je rejoints Bombo là dessus: les services informatiques donnent des mots de passe à des gens non-sensibilisés: les mots de passe deviennent ainsi une entrave au travail et les gens s’en foutent du coup….





Les mêmes gens savent ne pas s’en foutre quand leur banque leur donne des codes qui sont des mots de passe pour leur carte bancaire.



votre avatar







Deep_INpact a écrit :



Les mêmes gens savent ne pas s’en foutre quand leur banque leur donne des codes qui sont des mots de passe pour leur carte bancaire.





D’où l’importance de la sensibilisation <img data-src=" />


votre avatar







lol.2.dol a écrit :



il a retenu quoi :




  • Qu’il fallait vérifier qu’il était bien à l’adressehttps://www.extranet.monentreprise.com



    Pas de bol, il est tombé sur la pagehttps://extranet.monenterprise.com.







    Marche pas ton truc, une adresse de ce genre reste dans le domaine de l’entreprise et ne peut donc être frauduleuse (sauf vole du ndd).



    Rien ne vaut une vérification des deux premiers niveau du ndd, chose bien mise en avant par les IE récents (dommage qu’en entreprise IE soit ou désactivé au profit de FF qui ne propose rien de ce genre, ou reste dans une vielle version (7…) carrément pas sécure pour plein de raisons..).



    C’est un conseil relativement simple qui à lui seul aurait évité les deux piratages ici cités…


votre avatar







Bejarid a écrit :



Marche pas ton truc, une adresse de ce genre reste dans le domaine de l’entreprise et ne peut donc être frauduleuse (sauf vole du ndd).





Et tu prouve par là même que même une personnes alerte peux se faire avoir. Ce n’est pas l’absence du www le problème, c’est l’inversion des deux lettre dans le nom de domaine principal. Tu peux avoir un certificat en bonne et due forme pour cette adresse et 99% de users ne verront pas le pot au rose! Un utilisateur se fera toujours avoir avec un truc pareil.


votre avatar







hellmut a écrit :



même technique que pour l’Elysée.

normal: le phishing se base sur la défaillance technique de l’interface chaise-clavier.





Toujours pas patché chez beaucoup de monde visiblement… -_-


votre avatar







patos a écrit :



En tout cas, ils ont pris acte de l’attaque et feront le nécessaire pour que ça ne se reproduise plus.

C’est rare cette transparence et ce degré d’assumation…







juillet

directeur:




  • Gouverneur, il nous faut des sous pour renouveler notre parc informatique qui date du 20 janvier 1972 et nous payer un informaticien



    gouverneur:

  • T’as vu mon front? Y est marqué Démocrate? Tu veux que je me fasse bouffer par les tea party, à la prochaine élection? Me réclamer du fric pour un système informatique qui a à peine mon age… N’importe quoi! Tu me vires 2 comptable et tu m’embauches 4 clodos que tu paieras avec un bol de riz….



    Octobre:

    directeur:

    -gouverneur, on a eu un problème!

    gouverneur:

  • Bon on va faire un full disclosure où on va montrer que tu es un incapable et tu vas démissionner <img data-src=" />





    Y a pas c’est beau ce degré d’assumation…



    Ceci n’est qu’une fiction. Toute ressemblance avec des personnages ayant existé serait purement fortuite. Et n’oubliez pas le piratage est un crime contre l’humanité*



    *quitte à utiliser un terme inadapté comme “vol” à la place de contre-façon, autant marqué directement les esprits avec une vérité presque vraie… <img data-src=" />


votre avatar







tchize a écrit :



Et tu prouve par là même que même une personnes alerte peux se faire avoir. Ce n’est pas l’absence du www le problème, c’est l’inversion des deux lettre dans le nom de domaine principal.







Excellent!





votre avatar







Bejarid a écrit :



Marche pas ton truc, une adresse de ce genre reste dans le domaine de l’entreprise et ne peut donc être frauduleuse (sauf vole du ndd).







Comme quoi même un utilisateur (voir même power user) averti qu’il y a un cas de phishing à l’horizon peut se faire avoir par une simple entourloupe :)

<img data-src=" />







tchize a écrit :



Et tu prouve par là même que même une personnes alerte peux se faire avoir. Ce n’est pas l’absence du www le problème, c’est l’inversion des deux lettre dans le nom de domaine principal





<img data-src=" />





Et ce genre de cas, je l’ai déjà vu en entreprise. Il y a tentative de pishing grand public et privé maintenant <img data-src=" />


votre avatar







tchize a écrit :



Et tu prouve par là même que même une personnes alerte peux se faire avoir. Ce n’est pas l’absence du www le problème, c’est l’inversion des deux lettre dans le nom de domaine principal. Tu peux avoir un certificat en bonne et due forme pour cette adresse et 99% de users ne verront pas le pot au rose! Un utilisateur se fera toujours avoir avec un truc pareil.





J’avoue l’inversion de lettre au milieu du mot c’est traitre, j’ai rien vu meme en cherchant 5 minutes…



Y a plus qu’a passer aux smartcards qui elles vérifient le certificat au niveau binaire ^^


votre avatar

même technique que pour l’Elysée.

normal: le phishing se base sur la défaillance technique de l’interface chaise-clavier.

votre avatar

En tout cas, ils ont pris acte de l’attaque et feront le nécessaire pour que ça ne se reproduise plus.

C’est rare cette transparence et ce degré d’assumation…

votre avatar







patos a écrit :



En tout cas, ils ont pris acte de l’attaque et feront le nécessaire pour que ça ne se reproduise plus.

C’est rare cette transparence et ce degré d’assumation…





Mais c’est quand même grave qu’un employé file sans sourciller ses identifiants professionnels…


votre avatar







patos a écrit :



En tout cas, ils ont pris acte de l’attaque et feront le nécessaire pour que ça ne se reproduise plus.

C’est rare cette transparence et ce degré d’assumation…





USA &lt;&gt; France


votre avatar

Bref, Caroline du Sud ou Élysée de Nicolas = même incompétence, même laxisme. :/

votre avatar

En même temps, je pense que les employés, ou au moins celui qui a donné si facilement ses identifiants, n’a pas du faire l’objet d’une formation l’alertant de ce genre de danger, ce qui est fort regrettable aux vues des conséquences actuelles.

votre avatar







Deep_INpact a écrit :



Mais c’est quand même grave qu’un employé file sans sourciller ses identifiants professionnels…





Je rejoints Bombo là dessus: les services informatiques donnent des mots de passe à des gens non-sensibilisés: les mots de passe deviennent ainsi une entrave au travail et les gens s’en foutent du coup….


votre avatar







Arpago a écrit :



Bref, Caroline du Sud ou Élysée de Nicolas = même incompétence, même laxisme. :/





Avant de juger la personne qui a malheureusement donné ces identifiants, j’aimerai bien voir l’e-mail de tentative de phishing et la page web incriminé.

Pour avoir vu des emails de phishing spécialement conçu pour une seule personne, et des pages web reprenant trait pour trait un environnement extranet, je dois avouer qu’il faut parfois avoir un œil bien aguerri pour reconnaître le grain de l’ivraie.


votre avatar







lol.2.dol a écrit :



Avant de juger la personne qui a malheureusement donné ces identifiants, j’aimerai bien voir l’e-mail de tentative de phishing et la page web incriminé.

Pour avoir vu des emails de phishing spécialement conçu pour une seule personne, et des pages web reprenant trait pour trait un environnement extranet, je dois avouer qu’il faut parfois avoir un œil bien aguerri pour reconnaître le grain de l’ivraie.







Pareil. Mais une regle simple s’impose. A partir du moment ou l’on te demande des identifiants par e-mail, tu ne les donne pas. <img data-src=" />


votre avatar







romjpn a écrit :



Pareil. Mais une règle simple s’impose. A partir du moment ou l’on te demande des identifiants par e-mail, tu ne les donne pas. <img data-src=" />





On ne lui a peut-être pas directement demandé dans l’email.

Il suffit d’envoyer un e-mail à une personne en lui disant “Des nouveaux documents sont accessibles sur l’extranet de votre entreprise”, avec en dessous un lien qui redirige vers une page qui ressemble à s’y méprendre à la page d’accueil du portail de l’extranet de l’entreprise. Et en plus, histoire de bien planqué l’histoire, quand le mec rentre ses identifiants, tu le rediriges vers la vraie page d’accueil.

Le mec à sa formation sécurité informatique quand on lui a présenté le portail, qui allait lui changer la vie parce que “Enfin, je consulter mes emails depuis chez moi!!”, il a retenu quoi :




votre avatar







patos a écrit :



En tout cas, ils ont pris acte de l’attaque et feront le nécessaire pour que ça ne se reproduise plus.

C’est rare cette transparence et ce degré d’assumation…





A bon, tu trouve que c’est assumé? Il ne faut pas se leurrer, comme dans beaucoup d’administrations, malheureusement, l’état de la sécurité est vraisemblablement du à une combinaison entre la nécessité de faire évoluer les systèmes sans les casser (va dire à un million de gars qu’il toucheront leur remboursement d’impôts avec 6 mois de retard parce qu’on migre les données) et le manque de moyens financiers (on râle que l’administration coûte cher et, quand on réduit le nombre de fonctionnaire, on râle parce que ça ne marche pas bien).

Dans le cas présent, ont a vraissemblablement laissé un administration avec un manque criant de moyen pour protéger ces données et, ensuite, on fait sauter la tête mine de rien, comme ça le gouvernement s’en sort la tête haute. On a juste fait sauter un fusible pour ne pas assumer les décisions gouvernementales :) On se promet de mettre une priorité à la protection de ces données mais, finalement, aucun mot sur les centaines d’autres administrations qui sont probablement dans le même état.


Un banal phishing à l’origine du piratage en Caroline du Sud

Fermer