En novembre 2013, Uwe Buse, un journaliste allemand travaillant pour le quotidien « Der Spiegel » décide d’évaluer la sécurité de ses données personnelles en demandant à des hackers de tenter de lui nuire le plus possible grâce au piratage, tandis que lui cherchera à se défendre autant que possible. Le résultat a été catastrophique…
aRTICLE 6Première étape : rencontre avec les hackers
Pour son expérience, Uwe Buse prend contact avec l’entreprise de sécurité informatique allemande Syss, basée à Tübingen, à 100 kilomètres de Strasbourg. Trois pirates sont donc embauchés, chacun ayant sa spécialité ; téléphone portable, Windows ou Linux. Uwe Buse leur donne simplement son nom et sa profession (que les hackers auraient de toute façon pu trouver en utilisant Google). En dehors de cela, les pirates ignorent son adresse, ses goûts, son éventuelle famille, sa situation financière et ses habitudes. Il leur fournit simplement son ordinateur, et son téléphone portable sur lequel les hackers installent des logiciels malveillants. Cette étape est tout à fait facultative, les hackers auraient tout à fait pu se contenter de lui envoyer un email piraté, ou de rediriger sa connexion vers une page web contenant un code malveillant. Uwe Buse pose toutefois certaines limites à ses hackers, il refuse de perdre sa femme, sa maison ou ses amis dans l’expérience. En dehors de cela, ils ont carte blanche. L’expérience peut commencer. Début de l’expérience
Le journaliste allume son ordinateur, celui-ci fonctionne normalement. Son antivirus ne détectera rien.
Les pirates opèrent dès le lendemain matin à 7 heures. Lorsqu’Uwe Buse allume son téléphone portable, les pirates le géolocalise grâce à leur programme-espion. Ils identifient une localité qui est vraisemblablement son adresse, ils en auront la confirmation plus tard. Google Street View leur permet d’identifier l’apparence de son domicile.
Une heure plus tard, Uwe  Buse reçoit un appel téléphonique de sa fille qui lui dit qu’elle est bien arrivée à l’école. Les pirates enregistrent la conversation et le numéro appelant. Ils savent désormais qu’il a une fille, d’âge scolaire. Ils obtiennent dans la foulée la photo de sa fille.
À 9 heures, le journaliste travaille sur son ordinateur. Les pirates ont accès à sa webcam qui le photographie à intervalle régulier, sans que la diode s’active. Tout ce qui est tapé sur le clavier de l’ordinateur espionné est enregistré par les hackers, sous forme de fichier Excel, précisant les noms des programmes utilisés, l’heure de la frappe et son contenu.
À 10 heures, les pirates obtiennent ses mots de passe Gmail et Amazon. Cela leur confirme que l’adresse supposée est correcte, seulement 3 heures après avoir commencé l’opération. L’historique de ses achats sur Amazon leur fournit encore bien des informations sur ses goûts.
Les hackers prennent davantage de temps pour étudier Uwe Buse. En consultant sa boite mail, ils découvrent qu’il est marié, qu’il a également un fils. Ils découvrent le prénom de son épouse, son lieu de travail, sa photo, et ont bien sûr intercepté la conversation téléphonique qu’ils auront dans la journée.
Uwe Buse utilise Google Docs pour gérer ses comptes, les pirates ne se privent pas d’éplucher ses dépenses. Ils connaissent désormais son salaire.
Les pirates ont également envoyé un SMS « silencieux » à son téléphone portable. Sans que l’appareil n’affiche quoi que ce soit, les pirates accèdent à son micro et écoutent ce qui se passe dans la pièce.
Les pirates passent à l’offensive
Le deuxième jour reste un jour de collecte. Lorsqu’Uwe Buse consulte ses comptes en ligne, les pirates sont là. Ils obtiennent ses identifiants. Même chose pour Facebook, iTunes ou PayPal.
Le troisième jour, les pirates attaquent, doucement.
Ils commandent une machine à laver sur Amazon et suppriment l’email de confirmation avant qu’Uwe Buse n’ait le temps de le lire. Il verra cependant le deuxième email de confirmation de la commande à temps et l’annule, expliquant qu’il a été piraté. Il change son mot de passe Amazon, en vain. Les hackers obtiennent directement son nouvel identifiant. Le journaliste recontacte Amazon qui, après analyse, lui annonce que son compte est irrécupérable.
Les hackers rencontrent une petite résistance en se connectant à son compte Facebook. Le réseau social identifie la menace et demande une confirmation d’identité en demandant le lieu de naissance de sa mère. Les hackers ne la connaissent pas, elle ne figure dans aucun email ou SMS consulté, mais ils ne renoncent pas : ils vont tenter les villes environnantes au lieu de naissance de Uwe Buse. Après trois essais infructueux, le compte est bloqué. Le journaliste aura le temps de consulter l’email envoyé par le réseau, lui demandant s’il a bien tenté de se connecter… depuis Stockholm. Uwe Buse débloque son compte. Mal lui en a pris, les pirates retentent de se connecter et cette fois-ci, trouvent la bonne réponse. Ils postent un message dans lequel Uwe Buse révèle sa prétendue homosexualité.
De pire en pire
Les pirates changent ses informations, Uwe Buse n’a plus accès à son compte Facebook et les pirates en font ce qu’ils veulent. Impossible de contacter Facebook ou de supprimer le compte.
Les pirates vident son compte bancaire. Le code de confirmation envoyé par SMS est intercepté sans problème et l’argent est envoyé sur des cartes prépayées.
Uwe Buse contacte sa banque, il apprend qu’il doit porter plainte pour être remboursé et obtient de nouveaux identifiants bancaires.
Les pirates savent tout de lui, ou il se trouve et quels seront ses déplacements. Avant qu’Uwe Buse n’arrive au commissariat, il apprend qu’il a envoyé un email à son patron, pour démissionner.
Cela aurait pu être bien pire
Et les pirates sont plutôt cléments, ils auraient pu lui nuire bien plus. Ils l’informent qu’ils auraient très bien pu enregistrer des fichiers pédophiles sur son ordinateur et informer la police. Ayant le contrôle complet de ses comptes Facebook, Gmail ou Amazon, leur pouvoir de nuisance est énorme.
Uwe Buse déclare à la suite de l’expérience qu’il a eu réellement peur. Peur de ce que les hackers pouvaient faire, mais aussi devant son incapacité à se défendre devant eux.
Solutions
Lorsque le journaliste rencontre à nouveau ses pirates, il leur demande COMMENT se protéger. Difficile. Pour cela, il devrait utiliser Linux à la place de Windows ou de Mac OS, réactualiser sans cesse pare-feu et antivirus, crypter son téléphone, contrôler drastiquement ce qu’il installe, n’effectuer aucune opération financière en ligne ni par téléphone. Et bien sûr, être extrêmement prudent lors de la consultation de ses emails et de leurs pièces jointes ou des pages web qu’il visite.
De même, ne pas laisser qui que ce soit accéder à son ordinateur, ni à son téléphone portable.
Et même comme ça, il n’est pas à l’abri d’une intrusion.
En bref
La réalité va bien plus loin. Les programmes-espions se vendent et s’achètent sur internet. La plupart sont clé en main, c’est-à-dire utilisables par des novices n’ayant aucune connaissance spécifique en programmation ou en informatique. Certains programmes ciblent les comptes bancaires, d’autres, les réseaux sociaux. Les hackers proposent également des programmes sur commande, établissent des devis et s’adaptent à la demande. Leurs programmes suivent les évolutions des antivirus pour rester opérationnels, et indétectables.
Adrien LAURENT
Sources : http://www.youtube.com/watch?v=yK97DrkFJF0
Crédit image : Gettyimage

A propos de Adrien Laurent

Cet article a 4 commentaires

  1. Marie Delarine

    Cela prouve à quel point le piratage peut devenir dangereux, ils peuvent aller jusqu’a lui voler son identité, et lui casser son image. Amazing… –‘

  2. Max

    Je trouve l’étude de ce journaliste assez médiocre : les risques réels sont bien ailleurs: Écouter un téléphone portable c’est facile si on est un gouvernement, beaucoup plus difficile pour un hacker lambda. Le reste est crédible, mais pour l’essentiel il est assez simple de s’en protéger.
    Eviter MS ou Mac si on le peut, (les professionnels le peuvent) crypter ses données sensibles sur son disque, ne laisser personne accéder à son ordinateur, surtout si on est exposé comme journaliste, politique ou banquier … On ferme bien sa maison à clé et on garde ses codes bancaires secrets ?
    Les programmes espions utilisés par “les novices” sont incapables de passer un routeur / filtrage NAT correctement configuré. Alors qu’il est infiniment facile à une organisation gouvernementale d’intercepter mails et skype en se branchant sur le backbone du Net. tout aussi facile aussi pour l’administrateur (compétent , il y en a ) d’intercepter tous mails circulant dans votre entreprise pour le compte de qui le souhaite.
    On peut se protéger par un cryptage qui décourage, même s’il ne rend pas impossible le décodage, enfin on peut esquiver l’espionnage que Google fait de votre surf à des fins commerciales en utilisant une surcouche cryptée comme startpage
    Mais Facebook, Google, Yahoo sont bien plus dangereux : On leur confie trop de choses volontairement, qui vous oblige à leur dévoiler votre vie ?
    Quand au phishing bancaire, il est de mieux en mieux fait et c’est un danger pour les gens peu avertis qui utilisent les services en ligne. Pourtant, pour une organisation gouvernementale, les attraper ne devrait pas être un problème : ces délinquants laissent des traces suffisantes pour les rendre vulnérables aux autorités. Il suffit de le vouloir, je constate que ces attaques viennent de pays comme le Maroc et notre diplomatie française ne se bouge pas beaucoup pour mettre les autorités de ce pays sous pression.
    On n’évite pas de conduire sous prétexte qu’il y a des voleurs de voiture ?
    Alors, que fait la police ? On devrait lui donner mission de réprimer ces délits bien réels plutôt que de financer la croisade illusoire de l’Hadopi ( c’est plié d’ailleurs !)

  3. Altospam

    Les pirates ils sont de plus en plus nombreux et de plus en plus forts et le comble c’est qu’il y a des gens extrêmement intelligents parmi eux

  4. yasi

    Les pirates sont partout, que ce soit sur le web ou non, si on écoute et suits à la lettre les recommandations, alors autant ne plus vivre et profiter. Un peu de bon sens et de petites précautions suffisent, inutile d’être paranoiaque à moins d’avoir des énemis !

Les commentaires sont fermés.