Microsoft alertera ses utilisateurs en cas de piratage étatique

Après Twitter et Facebook, Microsoft annonce pouvoir alerter ses utilisateurs d’un piratage informatique lancé par un état. Mais oui… bien sûr ! ZATAZ va vous montrer comment votre compte mails va briller de mille feux.

Prenons un cas d’école, vécu chaque jour par zataz et aperçu chaque heure par votre serviteur. Le 1er janvier, une attaque de type phishing a été réceptionnée dans plusieurs webmails qui me servent de honey pot, de pot de miel. L’idée de ces espaces numériques, recevoir toute la lie du web en mode « Loterie Microsoft à 500.000€ » ; « Vous avez gagné 200.000€ offert par Coca-Cola » ; « Recevez des places gratuites pour Star Wars 8 » ; « Les Impôts vous ont prélevé 250€ de trop » ; « Je me nomme Babouchka, je suis une jeune Ukrainienne de 20 ans aux yeux bleus » ; « Gagnez 3500 euros par semaines via l’emploi que vous offre notre société« . Bref, des nids qui réceptionnent des dizaines d’arnaques par jour.

Les derniers cas en date, ils me proposaient de mettre à jour rapidement mes outils Internet. Des courriels qui étaient envoyés via des serveurs piratés par des malveillants qui officient dans le blackmarket. Leurs missions, collecter un maximum d’informations sur leurs cibles pour revendre les contenus collectés : mails, téléphones, adresse postales, identités, scans de papiers d’identités, données bancaires, comptes webmail, Netflix, factures, carte d’assuré social…

Les pirates et leurs missives passaient TOUS par des sites Internet qui ressemblent à un État, qui ont le goût d’un État, qui sont gérées par un État (ou une institution territoriale : Mairie, Conseil Régional…) mais qui ne sont pas responsables des attaques.

Premier point, les webmails que nous utilisons n’ont strictement pas tiltés en nous fournissant les missives malveillantes. Ensuite, Microsoft, tout comme trois autres webmails de renommée internationale n’ont pas lancé la moindre alerte. Pourtant, les courriels (ou les serveurs employés) étaient tous Étatiques (.gov) ou Territoriales.

Une cinquantaine de mairies Françaises

Quelques exemples de ces attaques étatiques/territoriales avec Les Mairie de Saint Jean de Fos (Vallée de l’Hérault), de Lons (Dont le serveur a du être fermé après son piratage après la découverte de porte cachée et message – w.htm, NDR), de Mittel Hausbergen [Alsace], de Saint Mandé [94] et de Chonas Lamballan (Rhône Alpes) piratée, infiltrée et utilisée dans un phishing. Même sanction pour le Maire Péruvien Isabelo « Chabelo » Molina Hernández et son site [http://vegaalta.pr.gov] infiltré et exploité ou encore le site gouvernemental Vietnamien [http://sonoivudaklak.gov.vn/] démonté par des pirates que l’on retrouve dans le blackmarket revendant la moindre donnée volée. A noter d’ailleurs que l’un des membres de ce groupe avait des accointances avec des pirates Français arrêtés en décembre. Sans parler de plusieurs centaines de sites Internet .gov.cn (Donc, gouvernement Chinois, NDR) qui se sont amusés, sans le vouloir, à afficher un happynewyear.html laissé par des pros du spams ou encore infecté par un code malveillant.

Bref, les géants du web communique sur leurs prochaines alertes à destination de leurs clients. Ils le font surtout pour rassurer leurs investisseurs.

Pendant ce temps

Le magazine Américain The Intercept annonçait une information que tout le monde savait, plus ou moins. Nous savions que Microsoft sauvegardait sur ses serveurs les clés utilisées par son système de chiffrement Bitlockers.L’outil permet de chiffrer vos disques durs et ainsi empêcher toute lecture sans le mot de passe qui rendra lisible vos données.

Microsoft l’indiquent d’ailleurs dès le chiffrement des supports. La firme de Redmond expliquant que cela permet de récupérer ses données chiffrées en cas de problème. The Intercept rappelle, juste après Noël, que si vous avez acheté un ordinateur Windows, Microsoft a probablement votre clé de chiffrement. Le fait que les nouveaux appareils Windows requièrent aux utilisateurs de sauvegarder leur clé de récupération sur les serveurs de Microsoft est remarquablement similaire à un système de séquestre de clés, mais avec une différence importante : les utilisateurs peuvent choisir de supprimer les clés de récupération de leurs comptes Microsoft. Bilan, vos clés de chiffrement [Une par disque dur, NDR] peut être supprimée du Nuage. Matthew Green, professeur de cryptographie à l’Université Johns Hopkins explique à The Intercept qu' »Il y a certainement des cas où il est utile d’avoir une sauvegarde de votre clé ou de votre mot de passe. Dans ces cas, vous pourriez opter pour copier cette information. Mais remettre vos clés à une société comme Microsoft change fondamentalement les propriétés de sécurité d’un système de chiffrement« . Cette politique de sauvegarde de Microsoft est en contraste frappant avec le principal concurrent de Windows, Apple. Les nouveaux Mac téléchargent aussi dans le cloud votre clé de chiffrement. Le chiffrement étant par défaut via la technologie FileVault. Comme Microsoft, Apple vous permet de stocker une sauvegarde de votre clé de récupération dans votre compte iCloud. Mais dans le cas d’Apple, c’est une option. Lorsque vous configurez un Mac pour la première fois, vous pouvez décocher une case qui vous permet de ne pas envoyer votre clé dans les serveurs d’Apple. Pour BitLocker, trois options: enregistrer dans votre compte Microsoft, l’enregistrer sur une clé USB, ou l’imprimer.

Comment supprimer votre clé de récupération à partir de votre compte Microsoft

Aller d’abord sur le site recovery key de OneDrive [https://onedrive.live.com/recoverykey]. Une fois dans la place, le site vous affichera une liste de clés de récupération sauvegardés sur votre compte. Si vos périphériques Windows sont répertoriés, cela signifie que Microsoft, ou toute personne qui parvient à accéder aux données de votre compte Microsoft, est techniquement capable de déverrouiller votre disque chiffré, sans votre consentement, aussi longtemps que cette personne aura un accès physique à votre ordinateur. Il vous suffit d’effacer les entrée, en ayant préalablement pris soin de les sauvegarder, ailleurs ! Je vous conseille fortement de déchiffrer vos supports, et de recréer des disques durs et clés USB avec de nouvelles clés, que vous ne sauvegardez plus chez l’ami américain. Pour finir, Microsoft promet qu’il supprime immédiatement, ainsi que toutes les copies stockées sur ses disques de sauvegarde, vos clés. Ils iraient donc, par exemple, contre la loi, qui impose de garder durant 1 an, la moindre trace informatique pour les besoins de la justice, comme c’est le cas en France ?

PS : Plusieurs lecteurs de Zataz m’ont alerté du piratage, entre le 25 décembre 2015 et le 30 décembre 2015, des Mairies de : Lacanau, Le Bouscat, Sainte Eulalie, Vernouillet, Martignas, Gradignan [Sous domaine Play], Bassens, Anger Villiers [fermé au moment de l’écriture de cet article] ou encore l’Agglomération de Rochefort Océan. Des sites qui affichaient « Hacked BY Imam ./Virtual <3« . D’après mes constatations, l’hébergeur semble être la porte d’entrée du pirate. Impossible de savoir si le « visiteur » a pu mettre la main sur des données privées [mails, adresses] et/ou sensibles.