Comment on aurait pu pirater Airbus (mais on ne l'a pas fait) ?

Lors des précédentes semaines, Airbus a été la cible de plusieurs cyberattaques visant à voler des informations confidentielles. Les applications web de Airbus ont été ciblées mais aussi ses collaborateurs et ses sous-traitants.

Sans information plus précise, l’origine est difficile à identifier. Certains parlent de services étatiques chinois. Mais rien de certain.

Nous avons essayé de nous placer dans la peau de l’attaquant. Nous vous expliquons comment on aurait pu pirater Airbus ; sans l’avoir fait opérationnellement. Nous vous rappelons que ce type d’activité est totalement interdite.

Une aiguille en or dans une botte de foin

Toute attaque informatique commence par une observation puis une collecte (souvent automatisée) des informations disponibles publiquement sur la cible. Ça tombe bien c’est notre spécialité.

Les pirates vont chercher à observer les signaux faibles diffusées (souvent involontairement) par une cible. Quelles technologies utilise-t-elle ? Quelles versions ? Quels collaborateurs ? Quels prestataires ? Ce genre d’informations se collecte généralement sur les forums, les sites spécialisés et les réseaux professionnels.

Depuis plusieurs années nos robots explorent les recoins les plus reculés de l’internet. Ils parcourent le DarkWeb et DeepWeb afin d’identifier des échantillons de fuites de données.

A ce jour nous avons déjà collecté plusieurs centaines de millions de données ayant fuités de différentes plateformes web. Ces données doivent être identifiées rapidement car elles disparaissent aussi vite qu’elles sont apparues. Les pirates tentent généralement de les revendre. Leur valeur d’échange est proportionnelle à leur importance. Des fois il ne s’agit que d’adresses email, souvent les mots de passe en clair sont associés, parfois nous retrouvons des informations bancaires potentiellement exploitables.

Pour gagner du temps nous avons segmenté les informations en prenant en compte uniquement les fuites récentes. Sur un échantillon de 12.000.000 identifiants de connexion (moins de 2% de notre bdd) nous retrouvons 64 identifiants appartenant à l’écosystème Airbus (airbus.com, military.airbus.com, etc.).

Ce chiffre peut paraitre très faible. Cela revient à rechercher une aiguille dans une botte de foin. Pourtant ces données ont énormément de valeur. On vous explique.

Ces données ne sont pas directement issues du piratage de Airbus mais d’opérations indirectes et plus anciennes. Les utilisateurs concernés utilisaient leurs adresses professionnelles pour se connecter à des partenaires (par exemple des forums et des plateformes d’événements professionnels). Celles-ci ont fait l’objet de fuites de données. La seconde origine de cette fuite repose aussi sur le mauvais comportement des utilisateurs. Ils ont dû être victime d’opérations de phishing hyper ciblé ayant pour conséquence la diffusion de leurs mots de passe

Sur ces 64 données de connexion de Airbus, les mots de passe associés sont en clair.

Qu’est-ce que le pirate va réaliser ?

Première étape c’est de s’assurer que les adresses servant à identifier les utilisateurs sont valides et que les mots de passe fonctionnent encore.

Le pirate va automatiser cette tache au moyen d’un robot. Le rôle de celui-ci est de tenter de se connecter à des sites grands publics (réseaux sociaux, plateformes web média, etc.). Ces sites ont la particularité d’indiquer si le mot de passe n’est pas le bon ou si l’identifiant de connexion n’est pas connu du service. En interne nous avons constitué une base de connaissance des sites grands publics pouvant être utilisés pour affiner ce genre d’attaque. Certains permettent de réaliser des vérifications sans contrainte pour l’attaquant. D’autres imposent des contraintes qui ralentissent mais ne bloquent pas les pirates.

En multipliant ces tentatives, le pirate peut obtenir en toute discrétion une connaissance précise des mots de passe habituellement utilisés par chaque utilisateur.

Seconde étape : s’assurer de la valeur des comptes utilisateurs. En utilisant des réseaux professionnels et des sites spécialisés il est relativement facile de mettre en lien une adresse email trouvée et le rôle de la personne dans une organisation. Ceci peut aussi être automatisé.

Dans nos 64 comptes, nous retrouvons des ingénieurs, des contrôleurs de gestion, directeur de division, secrétaires, vice president executive, etc.

Après ceci il suffit au pirate de se connecter aux outils disponibles par internet en usurpant l’identité des utilisateurs. Les pirates peuvent aussi simplement usurper les emails et réaliser d’autres opérations de phishing par rebond.

Comment se protéger et éviter les fuites de données ?

La croyance populaire veut que les fuites de données et attaques informatiaques reposent sur l’exploitation de vulnérabilités techniques. Mais vous l’aurez compris, les attaques impliquent de plus en plus le mauvais comportement des utilisateurs.

Il y a plus de deux ans, nous avons décidé de créer FoxTrace dans le but de protéger les plateformes web contre ce risque. En connectant notre protection, vous empêchez les détournements des comptes de vos utilisateurs. FoxTrace va détecter si des pirates tentent d’usurper des comtpes, par exemple s’ils se connectent depuis le DarkWeb, utilisent des comportements frauduleux, etc.