Brouteurs: Une évolution qui met à mal nos identifiants
Sommaire
Une bataille qui dure sans perspective de réussite⌗
Nous ne présentons plus ces arnaqueurs opérant principalement en Côte d’Ivoire, mais si pour vous ce mot est inconnu, il s’agit d’une menace qui existe depuis un certain temps et qui a commencé vers les années 2000 au Nigeria avec des mails de séduction pour extorquer de l’argent aux victimes crédules à travers le monde. Dans cette catégorie de personnes, on retrouvait des personnes qui était à l’aise avec l’outil informatique qui envoyait des mails en masse en attendant de piéger leurs victimes. Avec l’évolution d’Internet et l’apparition des réseaux sociaux, ces méthodes ont ainsi évolué et rendu plus faciles pour faire davantage de dégâts et diversifier les arnaques, le terme s’est alors transformé pour finalement devenir ce que l’on connaît actuellement: brouteurs.
Comment cette évolution a pu se produire ?⌗
Comme dit précédemment, l’évolution d’Internet et l’accès à diverses ressources ont permis aux brouteurs de pouvoir évoluer et se mettre à la page très rapidement. À l’heure de ce poste en contexte des Jeux Olympiques 2024 à Paris, les leaks de données (ou fuites de données) font particulièrement rage et beaucoup de dégâts, on se souviendra notamment des fuites de données de France Travail ainsi que Viamedis et Almerys qui ont touché plus de trois-quarts des Français. Bien que la plupart des données soient disponibles à la vente, certaines sont également disponibles gratuitement offrant des jeux de données conséquents aux attaquants. Même si certaines de ces informations sont parfois onéreuses à exploiter, certaines en particulier ne nécessite pas d’effort et donne accès directement à des comptes utilisateurs: il s’agît de ce qu’on appelle de “combolists”.
Les combolists, ou liste de combinaisons, sont des fichiers contenant des noms d’utilisateurs (ou bien des adresses mail) qui sont accompagnés de mots de passe. Ces listes sont fabriqués grâce à des enregistreurs de frappes (keylogger) ou des aspirateurs de mots de passe (stealer ou password grabber). Ces logiciels sont envoyés avec des fichiers compromis (fusion d’un fichier PDF et du logiciel malveillant par exemple) et sont exécutés en arrière-plan lorsque vous utilisez votre ordinateur. Voici un schéma expliquant un peu mieux le scénario:
+--------------------------------------+
| |
| +----------------------------+ |
| | | |
| | 1. Méthode de distribution| |
| | | |
| +----------------------------+ |
| | |
| v |
| +----------------------------+ |
| | | |
| | 2. Installation du | |
| | logiciel malveillant | |
| | | |
| +----------------------------+ |
| | |
| v |
| +----------------------------+ |
| | | |
| | 3. Exécution du logiciel | |
| | de "stealing" | |
| | | |
| +----------------------------+ |
| | |
| v |
| +----------------------------+ |
| | | |
| | 4. Collecte de données | |
| | sensibles | |
| | | |
| +----------------------------+ |
| | |
| v |
| +----------------------------+ |
| | | |
| | 5. Envoi des données à | |
| | l'attaquant | |
| | | |
| +----------------------------+ |
| |
+--------------------------------------+
Comment contrer et se protéger de cette menace ?⌗
La protection contre cette évolution devient fastidieuse: nous devons être en veille en permanence sur les fuites de données, le problème c’est que ces fuites de données ne couvrent pas l’ensemble de ces dernières et encore moins ces fameuses combolists. Une solution possible serait d’avoir un oeil constant sur ces combolists qui tombent en permanence, mais cela demande pas mal de temps, de ressources et parfois cela à un coût. En matière de protection de surface et à moindre coût, nous pouvons avoir ces solutions:
- Avoir des mots de passe uniques et forts: cette unicité permet de bloquer pas mal de possibilité aux attaquants, le premier réflexe des attaquants est de tester un peu partout et principalement les réseaux sociaux en ce qui concerne les brouteurs
- Eviter au maximum les WiFi ouverts: un réseau ouvert signifie que tout le monde peut se connecter dessus et donc une possibilité aux attaquants de pouvoir récupérer les données qui transitent sur le réseau et pouvoir décortiquer le tout afin de pouvoir récupérer les informations importantes. Bien que pratiquement tous les sites utilisent le protocole HTTPS, ceci n’empêche pas la récupération des données
- Utiliser plusieurs adresses électroniques: l’utilisation de plusieurs adresses électroniques permet de pouvoir protéger ses comptes utilisateurs selon le niveau de criticité des données. Par exemple, une boîte mail dites “poubelle” (équivalant aux emails temporaires) où on peut pratiquement tout mettre dedans, une boîte mail “normale” pour ce qui est un usage courant où les données personnelles peuvent être récoltées avec une criticité moyenne et une boîte mail “importante” où les données peuvent être sensibles et l’utiliser dans des cas précis. Proton propose une offre à 10€ par mois qui peut contenir une dizaine d’adresse mail sur un seul et même compte.
- Utiliser un coffre fort à mots de passe: Très utile pour stocker ses mots de passe au même endroit, les coffres-forts à mots de passe sont très utiles si vous possédez plusieurs comptes, générer des mots de passe complexes. On pourra citer Bitwarden comme solution en tant que logiciel avec une possibilité de l’héberger chez soi pour réduire les risques de fuite ou bien alors en solution hardware, on peut trouver Locknest pour ne pas utiliser de logiciel sur son ordinateur pour une centaine d’euros. En revanche, si vous optez pour la solution hardware, pensez à l’acheter en double au cas où un des deux Locknest lâche et ainsi perdre tous ses mots de passe.
- La double authentification: lorsque vous vous inscrivez sur un site, le premier réflexe est de vérifier si un système de double authentification existe et l’activer si ce dernier est présent et ainsi protéger votre compte. Priviligier les SMS ou application (Google Authenticator par exemple) plutôt qu’un code envoyé par mail si un choix de méthode d’envoi est proposé.