Cybersécurité: comment des hackers ont contourné le «captcha» de Microsoft et créé des centaines de millions de faux comptes

Le PDG de Microsoft, Satya Nadella, à Berlin, le 27 février 2019.

Le PDG de Microsoft, Satya Nadella, à Berlin, le 27 février 2019. . Tobias SCHWARZ / AFP

Est-ce que les systèmes d’authentification utilisés sur internet pour garantir que l’internaute est bien un être humain sont si fiables que ça? La question se pose après la découverte récente par Microsoft d’un groupe de hackers qui montre les failles des très utilisés «captcha».

Le 21/12/2023 à 07h45, mis à jour le 21/12/2023 à 07h45

Microsoft a révélé qu’un groupe de pirates informatiques nommé Storm-1152 avait vendu 750 millions de faux comptes Microsoft pour permettre à des cybercriminels d’opérer en ligne. Voici un tour d’horizon du caractère inédit de cette affaire.

De quoi parle-t-on?

Storm-1152 est un groupe pirate soupçonné d’être piloté depuis le Vietnam. Il a fondé son action sur le contournement automatisé de tout ce qui permet d’éviter l’authentification requise lors de la création de comptes Microsoft.

Leur cible favorite, les «captcha», ces fenêtres - très utilisées sur le web - demandant de reproduire une série de lettres ou de chiffres, ou de cliquer sur les parties d’une image montrant un bus ou un escalier, afin d’assurer au site internet qu’il n’a pas affaire à un simple robot.

Mais cette procédure d’authentification commence à dater et Storm-1152 a trouvé la manière de la contourner, l’a automatisée et a pu créer des millions de faux comptes.

Pour y parvenir, il y a sûrement eu derrière «un peu de “machine learning”», c’est-à-dire que ces hackers ont appris à leur outil de piratage où cliquer au bon endroit quand une image de vérification s’affiche, explique François Deruty, expert de la société de cybersécurité Sekoia.

Storm-1152 vendait ensuite sur un site ces faux comptes aux personnes voulant conduire des attaques, comme des mails de phishing, des rançongiciels ou des attaques de serveurs via un déni de service pour rendre une page inaccessible, selon M. Deruty.

Ce groupe était-il connu?

Son nom était connu et, si d’autres pays comme la Chine, la Russie, l’Iran et la Corée du Nord font plus souvent les gros titres en matière de piratage informatique, le Vietnam a des groupes de hackers qui font chaque année des progrès, à l’instar de l’Inde ou la Turquie, précise M. Deruty.

Microsoft a fait bloquer une partie de leurs sites sur le sol américain, par une décision d’une cour fédérale ayant autorisé à fermer les serveurs qui les hébergeaient.

«Mais ils ont sûrement d’autres sites qui sont déployées ailleurs et qu’il faudra faire fermer par une coopération internationale, ce qui arrive régulièrement», anticipe l’expert.

Dispose-t-on d’une parade contre ses techniques?

Il existe de nouvelles techniques comme l’authentification multifacteurs, avec des codes reçus par SMS par exemple, mais elles risquent de ne pas durer très longtemps avant de voir des pirates trouver leur faille.

Avec d’autres méthodes comme les clés de sécurité fournies par les banques, la sécurité est plus élevée, mais déployer ces nouveaux moyens coûte cher et prend du temps, alors que Microsoft maintient encore des versions anciennes de ses différents logiciels.

Par Le360 (avec AFP)
Le 21/12/2023 à 07h45, mis à jour le 21/12/2023 à 07h45