Découverte d’une liste de plusieurs centaines de millions de comptes détournés

C’est une quantité d’identifiants de comptes de messagerie électronique étourdissante qu’a découverte le chercheur connu sur Twitter sous le pseudonyme Benkow : plus de 711 millions, contenus dans des fichiers accessibles sur une serveur aux Pays-Bas.

Dans un billet de blog, le chercheur explique « que l’un trucs que j’ai vus le plus souvent est d’utiliser des sites Web compromis ». L’idée est simple : les cyber-délinquants piratent des sites Web légitimes ou achètent l’accès à des sites déjà piratés par d’autres, y déposent un script PHP qui devra envoyer les pourriels, qu’ils contrôlent à distance. Et là, disposer d’identifiants donnant accès à des serveurs de messagerie est précieux : « par le passé, il était plus facile pour les attaquants d’envoyer du spam en masse ; ils n’avaient qu’à parcourir Internet pour trouver un serveur SMTP vulnérable (avec des mots de passe faibles ou configuré en mode Open Relay) […] Mais aujourd’hui, c’est plus compliqué ». Il y a de nombreux outils et services de protection contre les pourriels et les serveurs SMTP configurés pour relayer tout et n’importe quoi « sont en liste noire et les attaquants doivent trouver un autre moyen d’envoyer des spams en masse ».

Benkow a fait sa découverte sur un serveur lié à l’infrastructure de commande et de contrôle du spambot Onliner, actif au moins depuis 2016 et qui a notamment été utilisé pour la distribution du cheval de Troie bancaire Ursnif.

Troy Hunt, qui anime le site Web Have I Been Powned, qui permet à chacun de savoir si des comptes de services en ligne lui appartenant figurent dans des listes connues de comptes compromis, s’est penché sur cette masse de données. Et l’ensemble est plutôt hétérogène.

Il y a des listes d’adresses e-mail, dont certaines semblent avoir été automatiquement collectées en ligne, et qui peuvent être utilisée pour usurper l’identité de quelqu’un dans le champ expéditeur, ou comme destinataires. Se trouvent également dans la masse des adresses e-mail assorties de mots de passes. Mais là, toutes les données semblent provenir de la brèche dont a été victime LinkedIn précédemment. D’autres sont issues de la liste consolidée par Exploit.in.

Les données susceptibles d’avoir le plus de valeur apparaissent en fait en quantité relativement limitée : au moins 150 000 adresses e-mail, assorties du mot de passe associé et du serveur SMTP correspondant. Des utilisateurs d’adresses e-mail signées Wanadoo figurent dans le lot.

Une fois de plus, on ne saurait dont trop recommander de vérifier que ses comptes de messagerie ne sont pas concernés. Et comme le relève Troy Hunt, « pour cet incident précis, si vous créez des mots de passe robustes, unique pour chaque service, et utilisez la vérification à étapes multiples partout où c’est possible, vous ne devriez pas avoir à vous inquiéter. Mais si ce n’est pas le cas, c’est un bon moment pour commencer ».