Piraté ! On va déballer tout à ton réseau, dans les 48h !!!

Clients malmenés: On vous avait dit, mot de passe trop simple !

Voici le message type, reçu par un de nos clients:

Visiblement un message “traduit” par électronique, mais ils ciblent désormais les francophones, même s’ils ne parlent vraiment pas (bien) le français !

Bonjour!

Comme vous pouvez l’imaginer, votre compte email.compromis@mon-domaine.ch a été piraté, depuis que j’ai écrit ce message de sa part. :(

Je représente un groupe international de pirates informatiques bien connu.
Du 23.07.2018 au 15.09.2018, vous avez été infecté par un virus que nous avons créé via le site Web pour adultes que vous avez visité.
Pour le moment, nous avons accès à tous vos correspondance, réseaux sociaux et services de messagerie.
De plus, nous avons des décharges complètes de ces informations.

Nous sommes conscients de vos « petits et grands secrets », oui, oui… Vous avez toute une vie secrète. Nous avons vu et enregistré comment vous vous êtes amusé sur des sites Web pour adultes. Dieu, quel goût et quelle souffrance avez-vous … :)

Mais la chose la plus intéressante est que nous vous avons inclus régulièrement sur la webcam de votre appareil. La webcam a été synchronisée avec ce que vous venez de voir!
Je pense que vous ne voulez pas que vos amis et votre famille voient tous vos secrets et, bien sûr, la personne la plus proche de vous.

Transférez $300 vers notre monnaie crypto Bitcoin Wallet:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Je vous garantis que nous effacerons alors tous vos secrets!

A partir du moment où cette lettre est lue, la minuterie fonctionne!
Vous avez 48 heures pour payer le montant susmentionné.

Une fois que l’argent est dans notre compte, vos données seront immédiatement détruites! Si l’argent n’arrive pas, toute votre correspondance et vidéo que nous recevons seront automatiquement envoyées à tous les contacts disponibles sur votre appareil au moment de l’infection!

Malheureusement, vous devez penser à votre sécurité!
Nous espérons que cette histoire vous apprendra à garder vos secrets corrects!
Prenez soin de vous!
C’est gentil comme message à la fin, touchant de sollicitude !
Certains messages vont même afficher en clair ton mot de passe !

Certains messages annoncent avoir fait le montage en simultané, pendant que vous étiez en train de visionner des trucs ‘sales’, et propose de le diffuser à tous vos contacts. Brillants ces cybercriminels (N’utilisez pas les mots ‘pirate’ ou ‘hacker’, qui ne sont pas nécessairement associés à des ‘méchants’ !)

Voir aussi le message sur Infomaniak:

Et l’émission On en parle:

https://rtsww-a-d.rts.ch/la-1ere/programmes/on-en-parle/2018/on-en-parle_20180925_standard_sequence-1_7c72e122-7a58-4643-bd78-f08118d52f35-128k.mp3?mediaId=9858503 (Merci Michael)

Dans cette émission, on parle de mots de passe piratés par ailleurs, mais le plus probable, c’est bien une découverte du mot de passe SMTP/IMAP de l’email. Dans notre cas, le mot de passe exposé est bien celui de l’accès IMAP de la messagerie, qui est le même que pour l’envoi SMTP dans 99% des systèmes, et donc, il permet d’émettre depuis son propre email vers soi-même, mais pire, ce que l’on veut vers d’autres emails, via son propre compte: D’où l'urgence de changer ce mot de passe, de suite. Il est dommage de ne pas l’avoir mentionné dans cette émission! Et je répète, bien que les conseils exposés par Infomaniak sont judicieux, ni l’antivirus, ni la double identification, ni le coffre à mot de passe ne changera cette situation. Il faut mettre un mot de passe “complexe”, unique et le changer tous les ans, au moins…

Est-ce vrai ?

Non à 99% ! Ou partiellement. Quelle confiance pouvez-vous accorder aux propos d’un cybercriminel, pro ou amateur ? Mais c’est partiellement vrai, car par contre, le compte email est compromis, ce qui est bien plus facile que de contrôler tout le PC. Cela dépend si vous avez affaire à un Phisher, hameçonneur en français (intimidation et faux messages, espèce très répandue), ou un vrai Cybercriminel (plus rares, heureusement, mais bon, comme on manque aussi de cyber-guerriers défenseurs, c’est trop…).

Si vous changez le mot de passe, et que le pirate récupère rapidement l’accès à votre messagerie, c’est que le ou les ordinateurs ayant reçu le nouveau mot de passe du compte de messagerie est compromis et infesté par un Bot. Il faut l’éteindre, et nous l’apporter. Utilisez un autre ordinateur, et re-changer le mot de passe du compte email. (Nous prêtons des PC recyclés avec www.intergen.ch)

Mais le plus souvent, c’est le compte ‘IMAP’ qui est compromis, et non votre gmail (si vous avez bien activé la double identification), ni votre Workspace Infomaniak ou Swisscom ou autre (à condition de ne pas avoir mis le même…), qu’il faut aussi protéger avec 2 facteurs, idem avec Facebook et LinkedIn…

Ce que nous avons fait, et que vous devez immédiatement faire.

Changer le mot de passe du compte email associé: Nous parlons du mot de passe SMTP/IMAP, et non du mot de passe de l’environnement web éventuel (infomaniak workspace ou Bluewin Swisscom ID par exemple). Si c’est le même, changer les deux, et mettez deux différents, et activer la double identification.

Activez 2FA bordel, je me tue à le répéter !

8 lettres minuscules, ou même un mélange de lettres (majuscules) et chiffres: Ce n’est pas assez complexe. Les Botnets sont capables de traiter massivement de grands nombres de possibilités.

Et arrêtez de croire que les cybercriminels ne vous connaissent pas, et qu’ils ne viendront pas vous chercher ! Nous parlons là d’automates qui explorent et testent systématiquement tous les comptes emails, sans savoir qui est derrière !

Si le cybercriminel a lui-même modifié le mot de passe, il faut procéder à un reset de ce mot de passe. Mais à priori, surtout s’il ne l’a pas déjà fait, c’est qu’il ne peut pas le faire. Il peut lire, temporairement. Mais dès que le mot de passe sera modifié, c’est fini, il a perdu. Sa chance, c’est votre ignorance (qui est normale, ce n’est pas votre métier ou votre passion…), et que finalement peu de gens savent changer leur mot de passe email :(

D’où mon combat au profit de la mise à disposition d’apprentissages à la culture numérique pour tous ! Et pas seulement pour les jeunes. (www.intergen.ch)
Et le pire, c’est que les jeunes non plus, ne mettent pas 2FA ! Quels N00B ! Des digital naïfs que je répète !
www.QuickLearn.ch et www.Tech4good.ch
Les système de Swisscom ID pour Bluewin et Workspace infomaniak, c’est pénible et compliqué pour les ignorants numériques, mais c’est un mal nécessaire… Et il faut les écouter quand ils recommandent d’activer 2FA.
D’autres conseils et détails en fin d’article.

L’activation du double facteur pour accéder à votre Gmail, Outlook.com, Workspace infomaniak, Bluewin Swisscom ID, Facebook, Twitter et LinkedIn, sont une nécessaire précaution, mais cela n’empêchera pas ce piratage, car le mot de passe de vos mailbox (SMTP/IMAP) est ‘figé’ et ne permet pas la double identification. D’où l’intérêt qu’il soit “long et complexe” et différent de votre accès via le web, et de le changer une fois par an. Souvent, le fournisseur va détecter un mot de passe identique, et l’interdire. Ce n’est pas pour vous embêter qu’il fait cela, c’est pour vous protéger de vous-même, contre les bots!

Checkup

Examen de l’en-tête du message

Nous ne pouvons pas contrôler un email qui nous a été simplement “retransmis” (forward), il nous faut le fichier binaire d’origine du message reçu. Sur un Macintosh, on peut faire un nouveau message, et faire un drag&drop du message criminel dans le nouveau message à notre intention (info@ict-a.ch). Sur les autres clients, il faut parfois aller dans les options ou afficher les détails du message pour récupérer son en-tête:

Return-Path: <email.compromis@mon-domaine.ch>
Received: from mta-gw3.infomaniak.ch (mta-gw3.infomaniak.ch [83.166.132.51])
by mda243.infomaniak.ch (8.14.5/8.14.5) with ESMTP id w8ICYGbl028841
for <email.compromis@mon-domaine.ch>; Tue, 18 Sep 2018 14:34:16 +0200
Received: from [201.222.74.8] ([201.222.74.8])
by mta-gw3.infomaniak.ch (8.14.5/8.14.5) with ESMTP id w8ICYELv073602
for <email.compromis@mon-domaine.ch>; Tue, 18 Sep 2018 14:34:15 +0200
Message-ID: <F673038D6986FDE762129C7897ECF673@mon-domaine.ch>
From: <email.compromis@mon-domaine.ch>
To: <email.compromis@mon-domaine.ch>
Subject: =?utf-8?B?Vm90cmUgdmllIHNlY3LDqHRl?=
Date: 18 Sep 2018 02:59:12 -0500
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary=” — — — — -4852875257194760"
X-Mailer: Kdjqvs ryrre 6.4
X-Greylist: IP, sender and recipient auto-whitelisted, not delayed by milter-greylist-4.2.7 (mta-gw3.infomaniak.ch [83.166.132.48]); Tue, 18 Sep 2018 14:34:16 +0200 (CEST)
X-Antivirus: Dr.Web (R) for Unix mail servers drweb plugin ver.6.0.2.8
X-Antivirus-Code: 0x100000
X-Infomaniak-Spam: spam
X-Spam-Score: 500

Bon et bien ce n’est pas du Spoofing (envoyer un faux email, se faisant passer pour un émetteur, qui n’est pas le réel émetteur). Le mot de passe est effectivement bien connu par le cybercriminel.

Tu peux d’ailleurs vérifier de suite si ton propre email a été compromis:

S’il est déclaré compromis, change le mot de passe. Sinon, cela ne veut pas dire qu’il n’est pas déjà compromis quand même. S’il est simple et n’a pas changé depuis longtemps, il est grand temps de le changer !

Maintenant !

Ce qui s’est passé !

Le mot de passe d‘accès à l’email a été compromis, comment ?

Il existe deux façons de ‘craquer’ un mot de passe :

  1. L’extorsion: Pas nécessairement par la torture, mais avec un bon ‘phishing’ en te le demandant et te laissant croire que c’est normal, ou par interception, avec un ‘key-logger’ sur ton ordinateur. Mais cela nécessite le contrôle de ton ordinateur, ce qui est possible, mais moins probable. Sauf si tu as cru à l’appel de Microsoft pour nettoyer ton PC récemment, et que tu les as laissé faireCe n’était pas Microsoft ! Tu éteins ton PC, et nous l’amène.
  2. L’exploration: On va tenter de deviner, et essayer, et essayer, encore… De nos jours, ce n’est plus un humain mais un automate qui fait cela. On appelle cela un Bot. Et les vrais pirates, ils montent des Botnet, des réseaux d’ordinateurs zombifiés. Ils sont utilisés pour pirater les autres ordinateurs, ou les comptes IMAP… Si ton PC est contrôlé par un Botnet, alors, tu peux changer ton mot de passe, il sera rapidement connu (cas 1 précédent). Si c’est le cas, tu éteins ton ordinateur, et nous l’amène.

Il existe en réalité une troisième méthode, c’est celle de ne pas avoir besoin de le craquer, par détournement ou par exploitation d’une faille, je récupère un accès sans devoir fournir ce mot de passe.

Ainsi, la NSA se ménage des points d’entrées dans les systèmes Apple et Windows, qui lui permet de s’introduire dans les système, en extraire fichiers et activer micros et caméras sans activer la LED. Ces failles sont imposées aux constructeurs, et probablement doublées par les failles introduites par les fabricants chinois: Ce qui est finalement bien trop facile ! C’est pour cela que les russes et les israéliens ont des hackers bien plus brillants, ils ne peuvent compter que sur leurs talents, eux ! Et ils découvrent et exploitent ces portes, et aussi des vraies failles accidentelles, inconnues et qu’ils ne vont pas ébruiter…
Merci au ‘Patriot act’ !-(

Alors certes, du coup, les Windows Updates imposés vont combler les “failles” devenues trop reconnues, et probablement en ouvrir d’autres…

Un cercle infernal

Et celui qui m’a écrit cet email alors ?

Mais il n’empêche que celui qui prétend avoir pris le contrôle de ton PC, sans même pouvoir changer ton mot de passe, il n’est pas de la NSA ! Il n’a très certainement pas eu accès à ta caméra, et il ne sait pas si tu es allé ou pas, sur un site X…

Il y a de grande chance qu’il ai juste ‘acheté’ une liste de mailbox compromises, mise en vente dans le Darkweb. Ce n’est pas vraiment du hacking !

Le plus probable, une exploration par Botnet

Comme le mot de passe ‘IMAP’ est fixe, et ne supporte pas le 2FA, il est “devinable”. L’indexation des profils publics des personnes (email) génère des dictionnaires sémantiques probabilistes, et des milliers d’ordinateurs vont tester toutes les combinaisons sur multiples mailbox. Si le mot de passe est réduit et simple, la durée de compromission sera courte. Une fois que le mot de passe est deviné, l’email est ajouté dans une liste d’email compromis, vendue sur le Darkweb.

Une nouvelle méthode de chantage !

L’intrusion dans le système de messagerie permettait à un cybercriminel de prendre le contrôle à la fois des messages et parfois des contacts (avec un Gmail mal protégé). Alors il patientait le départ en vacance (lisant les courriels l’annonçant…). Il profite alors d’écrire à tes contacts proches (Voiture volée, envoyer de l’argent Western Union… Un grand classique, bien connu). Et donc, ne pas sécuriser correctement son email, mettait en risque d’escroquerie, son propre réseau de proches.

Innovation: Cette fois, c’est le détenteur de l’email compromis qui est la cible, afin de le faire “chanter” !

Des images de “sites pour adultes” ?

“Je vais publier à tout ton réseau des vidéos/images de toi en train de regarder des images pornos !”

Mon client pensait à un de ses propres ados imprudents qui aurait visionné des trucs salaces… A priori, 50% des hommes en regarde, des femmes aussi, mais bien moins (ah ce 4ème cerveau, celui sous la ceinture, qui nous manipule, terrible parfois…:)

Donc en faisant croire qu’il “sait”, il va tomber juste 1 ou 2 fois sur 3 !

Mais très très probablement, il n’a jamais craqué ta machine, et il n’accède qu’à ta mailbox, et c’est tout !

En plus, il ne peut même pas changer ton mot de passe…

Les risques

Peut-il le faire ?

Oui, si tu ne changes pas le mot de passe de suite avant qu’il le fasse, il pourra envoyer des emails à tes contacts, ou du moins, ceux qu’il aura récupéré.

Si tu as changé ton mot de passe, c’est fini (sauf exceptions). Il ne peut plus rien faire, même s’il voulait te convaincre du contraire !

Puisque ton compte a été piraté, mes contacts aussi ?

Pas nécessairement. Si tu utilises un client de messagerie localement sur ton poste, ou ton mobile, et que tes contacts sont indépendants de la boîte email, alors il n’a accès qu’à l’historique des derniers messages envoyées, et il peut en récupérer les destinataires. Si c’est Gmail qui est compromis, et tu as omis d’activer la double identification, c’est trop tard. Il a extrait tout tes contacts.

J’ai changé le mot de passe, peut-il encore me discréditer sur mon réseau ?

Peut-être: Il peut émettre à tes contacts qu’il aura récupéré, via un autre email que le tien. Mais c’est peu probable.

Va-t-il le faire ?

Pour le moment, je n’ai pas entendu de qui que ce soit avoir subit cet inconvénient, et sans avoir payé… Mais ceux qui ont payé, ne se sont pas vantés. Je ne doute pas qu’un des criminels procédera à un arrosage un jour et de préférence en ciblant une personne connue pour obtenir un Buzz social, afin d’alimenter un peu les peurs !

C’est bien avec nos peurs que nous sommes aussi manipulés, par nos employeurs, nos clients, nos gouvernants…

Je fais quoi s’il envoie des trucs sales à mon réseau, en mon nom ?

Bon d’abord, si tu as bien changé ton mot de passe, il ne peut plus le faire !

Si lui a changé ton mot de passe, et a conservé le contrôle de ta mailbox, tu es censé avoir lancé un process de “reset” d’un nouveau mot de passe, et donc, il est “marron” pareil !

Mais bon, s’il a tes contacts, il peut envoyer des vidéos montées, de toi en train de regarder des images salaces. Et alors ?

C’est un montage !
Même si c’est vrai, tu peux dire que c’est faux !

Il est nécessaire de faire le montage de 2 prises d’images, de face, et une capture d’écran…

Mais tout le monde peut le faire !
J’en fais une sur qui j’ai envie de nuire et Boum, je fais partir ! Je n’ai même pas besoin de pirater sa mailbox, il me suffit de faire “amis” sur Facebook et LinkedIn, puis je récupère la liste des personnes de son réseau. Bon il faut quand même récupérer un enregistrement de cette personne en train de regarder un écran…

Pour dénigrer une personne, il y a plus efficace que cela, et en embauchant des “petites mains” dans le Darkweb, une campagne de dénigrement et de sabotage de réputation, et calomnies éhontées: C’est entre 500 et 5'000 $ envers des “non-personnalités”. Pour des personnalités, c’est plus cher !

Et pour faire tuer quelqu’un, un inconnu, c’est aussi entre 900 et 5'000$… Ah la valeur de la vie humaine, vaut bien plus que sa mort. Je n’ai toutefois pas eu l’occasion de vérifier si ces infos sont des rumeurs, des arnaques, ou si elles sont réelles. Et je n’ai pas la moindre envie d’aller vérifier…

Ma réputation, le monde saura que je protège mal mes emails

Mais tout le monde s’en fou !
Tu n’as pas changé ton mot de passe, et laissé le pirate faire ! Dommage…

Certes, si tu es fiduciaire, ou notaire, ou avocat, ou policier, ou un truc de ce genre, (journaliste ou politicien?) : Cela fait mal !

Mais pourquoi t’as pas changé le mot de passe, ni mis un mot de passe “très complexe” avec un tel métier ! (M’appeler pour se faire auditer et aider !)

Alors si cela arrive, ne va surtout pas planifier d’arroser à ton tour tout ton réseau pour t’expliquer ou t’excuser ! Une grosse erreur à ne pas commettre !

Evidemment que les gens vont comprendre que “l’autre crétin” (toi) s’est fait piraté son compte email ! Tout le monde a reçu un truc d’une personne qui s’est fait piraté, email, skype, facebook ou autres…

Et si quelqu’un se moque de toi, garde sous le coude l’épisode de https://fr.wikipedia.org/wiki/John_O._Brennan

Tu prends le temps de remercier ceux qui te retournent l’email reçu avec l’avertissement du piratage, en leur indiquant avoir pris les mesures nécessaires, et d’être désolé pour le désagrément et merci encore d’avoir pris le temps d’avertir ! Tu verras, ou j’espère pas, qu’ils ne seront pas si nombreux, rien que les blocages anti-spam vont probablement rapidement filtrer les emails concernés.

Prend-le avec humour et désinvolture, tu t’es fait piraté, c’est presque une marque de reconnaissance de ton importance !

Bon, en vrai, c’est un Botnet qui a topé un mot de passe daubé, mais cela, ils ne le savent pas, ou du moins, tu bénéficies du doute !
Allez, souris à ta webcam, tu es peut-être filmé !
Et si tu y colles un post’it, attention à tes paroles !

Ce qui doit impérativement être fait !

Vous utilisez ce même mot passe à d’autres endroits ?

Surtout si ton environnement Webmail ou Workspace utilise le même mot de passe que celui qui a été compromis, ou bien si d’autres sites utilisent le même mot de passe, et bien il va falloir aller les changer, tous, et vite !

C’est là que d’avoir un conseiller numérique pour aider et un coffre à mots de passe, cela peut servir ! Un carnet papier, peut dépanner, mais c’est pas top !

2FA !

Je me répète, cela n’est pas une option, pour tout le monde ! Pas seulement les “stars”. Il faut activer la double identification pour GMail, Facebook, LinkedIn, et l’accès au Workspace d’infomaniak ou de Swisscom, ou d’autres… En fait, dès que c’est disponible, il faut l’activer.

Mais pour IMAP, y’a pas ! Ne cherchez pas, cela n’a pas été prévu pour. Il faut mettre un mot de passe “fixe”, d’où la nécessité d’en faire un très “complexe” !

Tu fais tourner un générateur + utilises un coffre à mots de passe

Au lieu de mettre tintin2018 !

Changer le mot de passe de la boîte email, tous les ans, avec un long et complexe mot de passe. C’est pénible de devoir le retaper sur tous les mobiles, iPad et autres, mais cela peut rendre service ! Pas besoin de le mémoriser par cœur, no panic ! Par contre, l’écrire dans un coffre numérique sécurisé !

Un post’it sous le clavier, une feuille excel dans l’ordinateur ? Non, par pitié !

Et non, on ne reprends pas ce mot de passe pour un autre usage ! D’où l’intérêt d’un coffre facilitateur, gestionnaire de mots de passe, générateur même.

Ce qu’il serait judicieux de faire

Tu ne veux pas que la NSA t’espionne, ou les chinois, ou des cyberhackers ?

Mais bon, il faut pas rêver, pour les quidams, ils s’en fichent ! Mais il n’empêche que cela n’exclue pas de devoir lutter contre cette situation inacceptable !

Tu reformates ton Mac ou PC sous Linux (on peut t’y aider). On fait cela avec nos ateliers PC-Revival pour recycler les vieux PCs (www.intergen.ch). Cela marche aussi avec les jeunes PCs, sauf si vraiment trop récents, peut poser des soucis avec les “pilotes” (drivers).

Tu gardes “à jour” ton PC/Mac

Même si cela installe aussi des nouvelles failles, c’est mieux de refermer les connues. Même si je déteste que Microsoft ai pris le contrôle de nos PCs Windows 10, c’est une bonne chose de les patcher, et rebooter !

Mais on devrait quand même avoir le choix, contrairement à ce qu’ils font actuellement ! Ils peuvent culpabiliser les usagers, mais pas les contraindre !

Tu te gardes des liens douteux, même émis de gens connus

Ce lien peut générer un ‘Phishing’ (Hameçonnage) ou une tentative d’injection d’une infection (Spyware ou Troyen), rarement un virus (rapidement détectés par votre anti-virus).

On peut copier le lien, et le coller dans cette page.

Virus total est aussi un excellent second regard sur un package ou programme téléchargé, et à vérifier avant d’installer, même si sa source est censée être “fiable”. Microsoft aussi, peut se faire pirater.

Ce que je fais en plus ?

Pour ma part, j’ai un alias email différent pour chaque service web, ainsi, mon compte utilisateur utilise des emails différents entre les différents services web. L’usage généralisé d’un SSO via un login Twitter ou Google ne permet pas cela, alors j’ai un gros coffre à mots de passe, et utilise un login email.

Je ne stocke sur mon ordinateur aucune données sensibles de mes clients, sauf fortement crypté, mais en général, c’est en ligne, dans le Net, sur un site dont les serveurs sont mieux sécurisés que mon laptop, et n’est accessible qu’avec une double identification.

Le contenu d’un disque local d’un PC Windows est bien plus exposé, qu’un ‘store’ numérique en ligne, dans l’Internet, correctement sécurisé et crypté.

Et pour mon compte ‘Pro bono’ via Gmail, IMAP n’est pas activé ! Tout simplement…

Mais je ne prétends pas être “impiratable”.

Plus ?

Besoin d’accompagnement ou formation? http://callme.kotte.net