Overblog
Suivre ce blog
Editer l'article Administration Créer mon blog

Marichesse.com

Marichesse.com

Conseils, science, sante et bien-être


Marché noir: Comment Rue89 a pu acheter 20 millions d’adresses e-mail pour les spammer

Publié par MaRichesse.Com sur 5 Septembre 2014, 09:08am

Catégories : #INTERNET, #NEWS, #FRANCE, #TECHNOLOGIE

Marché noir: Comment Rue89 a pu acheter 20 millions d’adresses e-mail pour les spammer

En virée sur le Darknet, Rue89 a pu acheter un fichier de 20 millions d’adresses françaises. Comme ceux utilisés pour vous spammer d’arnaques. Consultez notre appli pour voir si l’un de vos e-mails y figure.

Virée obscure, sur un ordinateur (Audrey Cerdan/Rue89)

Un fichier de 20 millions d’adresses e-mail françaises. Oui, 20 millions. L’équivalent d’un internaute français sur deux. Il n’appartient pas au gouvernement, ni à Google, ni à Facebook, mais à un particulier.

LE DARKNET

Le Darknet est un réseau privé virtuel et anonyme. Créé au départ par des opposants politiques, il est aujourd’hui utilisé pour partager du contenu illégal ou militant en toute liberté. Pour s’y rendre, il suffit d’installer le navigateur TORBrowser. Il fonctionne comme votre bon vieux Mozilla Firefox ou Chrome, sauf qu’il permet d’accéder au réseau du même nom (TOR) et de surfer sur des sites auxquels ces derniers ne pourraient pas accéder. Ceux qui portent la terminaison « .onion », et qui rendent les communications anonymes.

C’est difficile à croire ? Malheureusement pour vous, et pour nous, ce fichier existe bien. Il se vend pour à peine 15 euros sur Internet.

Le pire, c’est que nous l’avons trouvé sur le Darknet et sans trop de difficultés.

Une fois le navigateur de TOR installé, qui permet d’accéder au Darknet (voir encadré), nous nous sommes rendus sur des sites de marché noir.

Ils fonctionnent comme un site marchand classique, sauf qu’on y vend un peu de tout, dont des livres interdits, des armes, de la drogue, des bijoux, et des fichiers piratés.

Capture d’écran de la recherche « drugs » (drogues), sur le Darknet

Ces sites ont une arborescence traditionnelle : les annonces sont répertoriées en plusieurs catégories, et l’on peut également effectuer une recherche plus précise. Nous cherchons, naïvement, « database » (base de données, en anglais).

 

Bien sûr, nous hésitons à acheter...

C’est après avoir épluché quelques pages truffées d’annonces pour divers fichiers piratés et de tutoriels (« Devenir un hacker pour les nuls »), que nous tombons sur cette vente.

Sous son titre « 20 millions+French emails l Fresh 2013 emails list », la promesse est belle : plusieurs millions d’adresses uniquement françaises et récentes.

Capture d’écran de l’annonce de vente de la base de données

Le prix affiché est dérisoire pour un fichier qui prétend recenser autant d’e-mails français : 0,0419 bitcoins soit 15,16 euros. A la vue de cette annonce, nous nous posons immédiatement une question : faisons-nous partie des 20 millions d’adresses répertoriées dans ce fichier ? Le seul moyen de lever le doute : réaliser l’achat et vérifier.

Bien sûr, nous avons hésité un temps avant de l’acheter. D’abord, parce que tout ceci est illégal, mais aussi parce que cela requiert un échange monétaire. Lorsque lon est sur le Darknet, et que l’on commerce avec un hacker potentiel, une paranoïa implacable s’installe dans notre esprit. Et si c’était un piège ? Et si c’était un virus ? Et s’il en profitait pour me pirater ?

 

... mais tout est fait pour nous rassurer

Mais sur ce marché noir, tout est fait pour rassurer l’acheteur et encourager la transaction :

  • tout se règle en bitcoins, parce que c’est anonyme et sans risques ;
  • comme sur PriceMinister, on peut aussi savoir si le vendeur est fiable ou non, parce qu’il est noté par l’acheteur à chaque vente. S’il possède la mention « 100% », c’est donc qu’il est « réglo » et qu’on peut lui acheter des produits en « toute confiance » ;
  • les vendeurs sont aussi évalués par niveau – comme les Pokémon : les inexpérimentés sont « level 1 », puis, lorsqu’ils réalisent plus de 50 ventes, ils passent « level 2 », etc. Le nôtre était niveau 2, et avait déjà réalisé 77 ventes, ce qui nous a rassuré.

 

En fait, 7 millions d’e-mails uniques

Alors nous sommes passés à l’acte, et nous avons réglé l’achat pour cette base de données. Une fois la transaction confirmée par le vendeur, il nous suffit de télécharger le fichier. Il fait 180 mégaoctets et nous obtenons une première réponse quant à sa provenance.

Les 20 millions d’e-mails sont en fait repartis en plusieurs fichiers qui contiennent chacun entre 500 000 et 2 millions d’e-mails. C’est sans doute la preuve qu’ils sont issus de plusieurs piratages, chaque fichier étant le fruit d’une intrusion dans un site. La plupart d’entre eux ne contiennent que des e-mails, mais d’autres, aussi les nom et prénom associés à l’adresse.

Une fois les doublons éliminés, la promesse ne tient plus : les 20 millions d’adresses ont laissé place à 7 millions d’e-mails uniques. Ce nombre très élevé de doublons paraît confirmer la thèse du multipiratage.

 

Notre vieille adresse d’ado... et la vôtre ?

Les données nettoyées et regroupées, notre premier réflexe est, bien entendu, de vérifier si nous y sommes répertoriés. La réponse est positive : nous y retrouvons notre vieille adresse e-mail d’adolescent (qui était bien privée), devenue, avec le temps, un pot-pourri à spams. Et moi comme vous, je ne peux pas me retirer de cette base de données.

Et vous, y êtes-vous ? Entrez votre adresse e-mail exacte ci-dessous et découvrez la réponse. Pensez à rechercher toutes vos adresses... (Bien évidemment, Rue89 ne conserve aucun e-mail entré dans le champ ci-dessous !)

 

COMMENT PROTÉGER VOTRE E-MAIL

Pour ne pas figurer dans ces bases de données, évitez de vous inscrire partout où on vous le demande. Faites-le seulement quand cela relève de la nécessité, et si vous considérez que le site est fiable. Vous pouvez aussi créer plusieurs adresses : l’une pour vous inscrire un peu partout, l’autre à usage strictement personnel, qui sera très sécurisée.

Pensez aussi à changer votre mot de passe chaque mois.

Privilégiez les mots de passe longs et complexes (donc difficile à briser).

Parmi les adresses en notre possession aussi, un bon nombre aussi sont publiques. Une simple recherche de « @assemblee-nationale.fr » dans la base de données nous permet par exemple de constater que le fichier contient tous les e-mails des députés de l’Assemblée nationale.

Une quantité importante d’emails non confidentiels d’entreprises y est également présente, parmi lesquelles, par exemple une bonne partie de celles du journal Le Monde, de Libération, du Figaro. Dans le lot des adresses de Libé, nous retrouvons d’ailleurs les anciens e-mails de Pierre Haski et de Pascal Riché (alors qu’ils ont quitté le quotidien en 2007 pour fonder Rue89).

Nous trouvons également trois adresses de Rue89 : celle d’Augustin Scalbert, de Chloé Leprince et de Laurent Mauriac (tous trois ont quitté la Rue depuis).

Mais nous constatons aussi la présence d’adresses d’entreprises qui sont confidentielles et qui ne figurent pas sur leur site internet. Vingt-deux e-mails d’employés, bien placés, de l’enseigne Charal sont par exemple répertoriés dans notre base de données.

C’est là un autre indice quant à la façon dont ces e-mails ont pu être récupérés.

 

Plusieurs piratages sur une période longue

Une fois fait le constat que beaucoup de ces adresses sont anciennes, il paraît évident qu’elles ont été extraites de sites particulièrement vulnérables parce que anciens ou plus en activité. Ou bien, elles sont le fruit d’un nombre important de piratages sur une période longue, ce qui aurait permis au hacker d’en regrouper un nombre aussi important.

D’autant que, lorsque l’on y regarde de plus près, nous constatons que les fichiers ont été créés en 2010 ou en 2011, soit trois à quatre ans auparavant. Une éternité pour le Web. Une bonne partie d’entre elles n’existent probablement plus ou sont à l’abandon.

Parmi tous ces e-mails, beaucoup sont personnels, à hauteur de 60% selon le revendeur. Nous sommes par exemple parvenus à retrouver les adresses personnelles de François Hollande, sans pour autant savoir si elles sont toujours fonctionnelles et si ce sont bien celles du Président.

 

De la chair à phishing

Si le fichier ne tient pas toutes ses promesses, parce qu’il compte des doublons et que certaines adresses ne fonctionnent plus, il est tout de même important. Là, vous vous dites :

« D’accord, mon e-mail est dans une base de données illégale dont je ne peux le retirer, et alors ? A priori on ne pourrait pas faire grand-chose de 7 millions d’adresses dont on n’ a même pas le mot de passe. C’est pas non plus comme s’ils avaient mon numéro de carte bancaire. »

En réalité, c’est un début. Parce que c’est une véritable mine d’or pour mettre en place des attaques massives et dangereuses. Elles pourraient prendre deux formes, utilisées en général par les hackers :

  • la première, c’est le spam et le phishing (hameçonnage). Les hackers vont envoyer le même e-mail frauduleux, en se faisant passer pour EDF, PayPal, eBay, etc., aux 7 millions d’adresses de la base. Ce message dit souvent :

« Information importante. Il y a eu une mauvaise manipulation, nous avons perdu vos coordonnées bancaires. Merci de cliquer ici pour la renseigner. »

Tout le matériel nécessaire à ce procédé peut aussi se trouver facilement sur les « black markets » (marchés noirs) du Darknet. En trois clics, nous sommes parvenus à télécharger et à réaliser notre propre e-mail de phishing.

L’e-mail type que nous avons réalisé en récupérant des gabarits qui miment EDF

En cliquant sur le lien contenu dans l’e-mail, vous accédez à un faux site web qui vous demandera de renseigner vos codes bancaires. Si vous le faites, l’identité de votre carte est récupérée et l’on peut avoir accès à votre compte en banque.

Vous savez maintenant pourquoi vous recevez régulièrement des e-mails de La Poste ou de HSBC vous demandant de renseigner vos codes bancaires. Posséder 20 millions d’adresses, c’est augmenter considérablement les chances de réussite de l’arnaque.

  • La deuxième technique est de pratiquer une « attaque par force brute ». C’est un procédé assez courant qui consiste à utiliser un logiciel qui va tester un à un tous les mots de passe possibles pour chaque adresse, jusqu’à trouver le bon. En général, cette attaque s’utilise seulement avec un nombre réduit et ciblé d’e-mails, parce qu’elle prend du temps et qu’elle est plus compliquée que la première.

 

Entre 20 et 30 euros la carte bancaire

Ces attaques fabriquent un cercle vicieux. Une fois votre carte bancaire ou votre mot de passe obtenus, les hackers peuvent s’en servir personnellement, ou bien les revendre à un prix supérieur sur les black markets. Ce qui explique d’ailleurs que l’on y trouve des jeux de données en vente bien plus complets.

Certaines annonces proposent ainsi d’acheter une carte bancaire française à l’unité (entre 20 et 30 euros) et de choisir le plafond de dépenses, la marque (Visa, Mastercard), ou la formule (Gold, Platinium...). Ils assurent qu’elle est encore fonctionnelle et proposent même un remboursement si ce n’est pas le cas...

Certains autres vendent aussi des bases de données qui, selon eux, contiennent le nom, le prénom, l’adresse, l’e-mail, le mot de passe, mais aussi le numéro de Sécurité sociale ou encore la religion de plus d’un million de personnes à travers le monde. Mais de telles informations se payent cher : son prix est de 1 bitcoin, soit près de 500 euros. Là, nous ne sommes plus dans du piratage de petit niveau, mais bien de grande envergure. 

Rue89.com le spammer en chef

Commenter cet article

Archives