par Imaginez une porte d’entrée dont le fabricant lui-même ignore qu’elle ne ferme plus. Personne ne s’en méfie, puisque tout le monde la croit verrouillée. C’est exactement ce qui vient d’arriver à plus d’une centaine d’organisations, victimes d’un même groupe de pirates.
Ces pirates se font appeler ShinyHunters. Ce sont des spécialistes du vol de données suivi de chantage: ils s’introduisent, copient tout, puis réclament une rançon en menaçant de tout publier. C’est déjà eux qui avaient fait parler d’eux l’an dernier en s’attaquant à des dizaines de grandes entreprises.
Cette fois, ils ont visé un logiciel discret mais omniprésent dans les grandes structures, qui sert à gérer la paie, les ressources humaines, la facturation et les dossiers des étudiants. Autant dire une mine d’informations personnelles.
La porte d’entrée en question, c’est ce que les spécialistes appellent une faille zero-day. Le terme désigne une faille de sécurité que l’éditeur du logiciel ne connaît pas encore, et pour laquelle il n’existe donc aucune réparation disponible. Reprenons l’image de la serrure cassée: tant que le fabricant n’a pas compris le problème, il ne peut pas fournir la bonne clé pour la remplacer.
Pour verrouiller vos comptes au-delà du simple mot de passe, cette clé physique ajoute une barrière difficile à contourner.
Clé de sécurité YubiKey 5 NFC → voir sur Amazon
Lien affilié Amazon. En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.
Cette faille était particulièrement vicieuse. Pas besoin de mot de passe, ni de piéger un employé: une simple connexion au serveur suffisait pour en prendre le contrôle total. La filiale spécialisée en cybersécurité de Google a repéré les attaques fin mai, alors que l’éditeur n’a donné l’alerte que deux semaines plus tard. Pendant tout ce temps, les pirates ont eu le champ libre sur des serveurs que leurs propriétaires croyaient parfaitement à jour.
Le résultat est éloquent. Près de 70 % des victimes sont des établissements d’enseignement supérieur, surtout aux États-Unis, car les universités utilisent massivement ce logiciel pour leurs étudiants. La première à l’avoir confirmé, une université britannique, s’est fait dérober 40 Go de données concernant des centaines de milliers d’étudiants, actuels comme anciens. Elle a refusé de payer, et les fichiers ont fini en ligne.
Une fois entrés, les pirates ne se contentent pas du serveur visé: leurs programmes tentent de gagner les machines voisines en essayant des mots de passe évidents. Ils laissent même derrière eux un fichier moqueur intitulé, en gros, « si vous lisez ceci, vous vous êtes fait pirater ».
Pour vous, simple internaute, la morale est connue mais utile à rappeler. Vos données dorment souvent dans des systèmes que vous ne contrôlez pas. D’où l’intérêt d’un mot de passe différent par service et de la double authentification, ce code reçu en plus du mot de passe, qui complique sérieusement la tâche des intrus.
Crédit photo : Illustration générée par IA
