Plus de 3 000 banques de données ont été touchées la semaine dernière par la cyberattaque « Meow ». Les hackers utilisent une technique simple : scanner internet pour trouver les bases de données ouvertes, effacer leur contenu et signer « Meow ». De nombreux espaces de stockage ne sont pas protégés et nos données ne sont pas toutes sécurisées.
« C’est assez classique, comme méthode », constate Baptiste Robert, hacker et chercheur en cybersécurité. « Les sites internet ont besoin de stocker des informations. Pour ça, ils utilisent des bases de données. Certaines de ces bases ne sont pas protégées, elles ne demandent pas de mot de passe pour y entrer. Si on connait l’adresse, on peut y accéder », explique-t-il.
C’est la méthode que semblent avoir utilisé les hackers « Meow » pour effacer les données contenues sur les espaces de stockages de plus de 3 000 bases de données, selon le site Shodan, un moteur de recherche de vulnérabilité. Ce site recense les attaques et énumère tout ce qui est ouvert sur internet (caméras, systèmes industriels, bases de données…) et qui est donc vulnérable.
« Ce n’est pas difficile de pirater ces bases de données », note Olivier Blazy, maître de conférence en informatique à l’université de Limoges et expert en cyber sécurité. « Il suffit juste d’avoir remarqué la vulnérabilité de l’espace de stockage au départ et de l’exploiter. Ça ne demande pas des moyens matériels démesurés. »
Le premier à s’être rendu compte de la cyberattaque « Meow » est le chercheur anglais Bob Diachenko. La victime initiale est UFO VPN, un site qui propose des VPN (des réseaux virtuels privés, utilisés pour cacher ses actions sur internet). Une première brèche de sécurité avait été exposée mardi 21 juillet, le VPN avait déplacé sa banque de donnée dans un Cloud (un espace de stockage à distance). Le même jour, « Meow » détruisait cette banque de données.
Fait étonnant, les hackers ne demandent pas de rançon en échange des données piratées. Ils ne communiquent pas non plus sur leurs revendications.
« Les attaquants ont sûrement fait ça pour se moquer », estime Baptiste Robert. « Ceux qui font ça se fichent du type de données qu’ils effacent, c’est automatisé. Ils voient que c’est ouvert, suppriment tout, marquent Meow et c’est fini. » Attention cependant, il est possible que les hackers fassent des copies de ces données. « Ce n’est pas clair, ils ne communiquent pas là-dessus. À priori, c’est de la destruction pour de la destruction », estime Olivier Blazy.
Autre mystère : les hackers ne semblent pas cibler un type d’entreprise en particulier. « Soit ce n’est pas ciblé du tout et c’est automatisé, soit ils en ont ciblé une et ils le masquent en en attaquant d’autres », explique Olivier Blazy.
La démarche pourrait aussi être engagée. « Ça peut être un moyen de faire prendre conscience aux gens que les données sont vulnérables et donner envie aux entreprises de déployer une meilleure sécurité », note Olivier Blazy. « Il faut se méfier, prévient Baptiste Robert, en matière de sécurité informatique, il y a beaucoup d’intérêts divers. Ça peut être quelqu’un qui fait ça pour rigoler, comme quelque chose de grave. C’est difficile de s’engager ».
Conséquences financières
De telles attaques ont des conséquences pour les sites piratés. « Pour une entreprise, ça peut être grave. Quand on s’inscrit sur un site classique, on donne ses informations personnelles. Si toutes les données sont effacées, le site perd toute sa base client. Il perd aussi les identifiants et mots de passe de ses utilisateurs et les clients ne pourront plus se connecter. Ça peut bloquer complètement une industrie et aller jusqu’à la cessation d’activité », explique Baptiste Robert.
Le coût pour une entreprise peut donc être très élevé. Outre le fait de voir son activité bloquée, d’autres dépenses sont à prendre en compte. « Il y a la facture de l’image : il faut contacter les gens et leur dire qu’on a perdu leurs données », note Olivier Blazy.
Pour ces personnes dont les données ont été piratées, les conséquences peuvent être très variables. « Ça dépend de ce que fait le site qui a été attaqué. Si c’est juste un site qui demande un nom et un prénom, ce n’est pas très grave. Si ça avait été Doctolib qui avait été piraté, par exemple, ça aurait eu d’autres conséquences. Le hacker aurait eu alors accès aux rendez-vous que vous avez pris, quand, où… », explique Baptise Olivier.
« Il faut aussi trouver l’origine de la faille et y remédier », pointe Olivier Blazy. « Pour les entreprises qui ont déjà un système de sécurité, il faut le mettre à jour. Pour celles qui n’ont pas de système de sécurité, il faut le créer. Quand c’est fait dans l’urgence, ça peut couter très cher, dans les centaines de milliers d’euros. »
Une dépense que de nombreuses entreprises ne peuvent pas se permettre actuellement, avec la crise du coronavirus qui pèse sur leur économie. La généralisation du télétravail, lors du confinement, a d’ailleurs créé de nouvelles failles de sécurité dans les entreprises. « Les gens ont amené leur travail sur leur ordinateur personnel. Ils se sont affranchis des contraintes de l’ordinateur du travail. En terme de cybersécurité, c’est plutôt mauvais », souligne Baptiste Robert. « Les entreprises ont dû déployer des solutions de télétravail à grande vitesse, sans réfléchir à la sécurité. Ça représente énormément de nouvelles cibles mal préparées, facilement attaquables », complète Olivier Blazy.
Pour ce dernier, les attaques s’arrêteront quand les sites touchés auront mis à jour leurs systèmes de sécurité : « L’attaque va sûrement continuer à tourner mais de moins en moins de personnes seront vulnérables ». Ces attaques massives seront peut-être un moyen de faire prendre conscience à tous de l’importance des bonnes pratiques sur internet, aussi appelées « la cyber hygiène ». « Dans la vie de tous les jours, on a une certaine hygiène de sécurité. Quand on sort de chez soi, on ferme la porte et on a une clé différente pour chaque entrée de sa maison. La cyber hygiène c’est la même chose mais en virtuel. Utiliser le même mot de passe partout, c’est très mauvais, si un service est compromis, tous les autres le sont aussi. Il faut adopter les bonnes pratiques », expose Baptiste Robert.