À Propos
Contact
vu sur le blog du hacker france 2
leblogduhacker
Le Blog du HackerCe qui est sécurisé à 99% n'est pas sécurisé

Piratage : Ce qu’il s’est passé en 2014

  1. Accueil
  3. Actualités
  5. Piratage : Ce qu’il s’est passé en 2014

L’année 2014 a été une année bien chargée en piratages, vous avez probablement été au courant du piratage récent de Sony, mais aussi de la faille HeartBleed plus tôt dans l’année ou encore les fameux vols des photos nues de stars.

Voici donc l’année 2014 en revue en ce qui concerne le piratage.

Janvier

Le premier mois de l’année a été marqué dès le premier jour avec le piratage des comptes officiels Twitter et Facebook de Skype.

L’attaque provient de « l’armée électronique syrienne » (un groupe de pirates qui publie des messages en faveur du gouvernement syrien). Ils publient un article via un compte piraté en demandant de ne pas utiliser les comptes Outlook/Hotmail car « Microsoft observe nos comptes et revend les informations aux gouvernements ».

Twitter et Facebook de Skype hackés

Des faux messages ont été publiés sur le blog de skype

On apprend également à la fin du mois que Orange a été piraté et que des centaines de milliers de comptes ont pu être compromis.

Le message laissé par Orange est le suivant :

Orange a été la cible d’une intrusion informatique le 16 janvier 2014 à partir de la page « Mon Compte» de l’Espace Client du site orange.fr

Les clients de Orange ont ensuite été informés par e-mail.

Février

On entend encore parler de l’armée électronique syrienne qui pirate cette fois la version anglaise des sites eBay et PayPal.

paypal ebay piratés

Un message est laissé sur le site de PayPal :

Hacked by Syrian Electronic Army! Fuck the United States Government.

En février toujours, la photo de couverture de Mark Zuckerberg en personne disparaît spontanément.

mark zuckerberg hacké

Un hacker égyptien du nom de « Dr.FarFar » explique qu’il a utilisé la fonctionnalité de signalement de photos « Je n’aime pas cette photo de moi » en éditant les requêtes pour viser la photo de couverture du patron de Facebook.

On apprend également que l’attaque DDoS (déni de service distribué) la plus importante de l’histoire a eu lieu contre le service de diffusion de contenu CloudFlare. Elle a été mesurée à 400Gbps, c’est l’équivalent de 50Go par seconde.

Mars

On apprend que la Direction générale de la sécurité extérieure (DGSE) aurait un accès libre et total aux réseaux et aux flux de données de l’opérateur téléphonique Orange sur demande de la loi.

Ces données peuvent également être partagées avec des alliés étrangers comme le GCHQ.

Durant ce même mois, le compte Twitter de notre cher Justin Bieber est piraté par des hackers indonésiens. Des liens sont publiés pointant vers une application Twitter malveillante.

justin bieber piraté

Avril

Le mois d’avril a été marqué par l’une des failles les plus importantes des dernières années : La faille Heartbleed.

https://upload.wikimedia.org/wikipedia/commons/thumb/d/dc/Heartbleed.svg/200px-Heartbleed.svg.png

Il s’agit d’une faille dans la bibliothèque de cryptographie OpenSSL qui permet à un attaquant de récupérer les clés privées utilisées pour chiffrer une communication.

comment fonctionne heartbleed

On apprend également qu’un garçon de 5 ans découvre une vulnérabilité dans XBox Live : Le garçon explique qu’en tapant un mauvais mot de passe puis en appuyant sur la barre d’espace, il  a pu contourner la vérification du mot de passe.

5 ans pirate xbox

Mai

Le 20 Mai est une autre journée noire pour eBay, dont une vulnérabilité compromet la sécurité des 145 millions d’utilisateurs enregistrés de part le monde entier. eBay alerte les membres pour le dire de changer leur mot de passe.

Le problème, c’est que quelques jours après, plusieurs autres failles de sécurité sont découvertes dont une attaque XSS :

xss ebay

La faille XSS en action sur le site de eBay

On apprend aussi courant mai que le FBI a arrêté près de 100 pirates liés à l’outil d’administration à distance (RAT) Blackshades. Le site a également été saisi.

Juin

En Juin, on commence à parler des ransomwares. Il s’agit de programmes malveillants qui chiffrent tout ou partie des fichiers du disque dur puis demandent à l’utilisateur de payer une rançon pour pouvoir déchiffrer ses fichiers.

ransomware

Ici un type de Ransomware qui se fait passer pour la gendarmerie en demandant de payer une fausse amende.

Une vulnérabilité dans le noyau de Linux (CVE-2014-3153)  est également découverte au courant du mois, elle permet d’augmenter ses privilèges sur la machine et de réaliser des attaques par déni de service.

Juillet

Stevie Graham un développeur londonien connu pour avoir crée l’extension Firesheep qui permettait de se connecter aux comptes Facebook des personnes sur un même réseau local sans mot de passe, créer cette fois Instasheep, un outil permettant de prendre le contrôle des comptes Instagram des utilisateurs. Il était possible d’accéder aux photos privées, de les supprimer, éditer des commentaires et bien-sûr poster des images.

https://i0.wp.com/c2.staticflickr.com/6/5442/10040668044_e41bb1cc85.jpg?resize=400%2C300&ssl=1

Stevie explique avoir rapporté la vulnérabilité alors qu’elle n’a pas été prise au sérieux. Il a donc crée cet outil pour alerter les internautes.

On apprend également en juillet de la part de Joseph Demarest (directeur de la division cyber du FBI) que chaque seconde 18 ordinateurs sont infectés pour rejoindre un botnet (une armée de PCs zombies prêts à obéir).

Août

En Août on a le droit à une belle démonstration de Phishing, des pirates profitent en effet de la mort de Robin Williams pour propager un post faisant croire à une vidéo d’adieu.

https://i0.wp.com/1.bp.blogspot.com/-lBs8BTK7kPM/U-9DzUIvvcI/AAAAAAAAcyw/JKKh4_QQeUY/s1600/robin-williams-facebook.png?resize=599%2C370&ssl=1

Aucune vidéo n’est visible, mais lorsqu’un utilisateur clique, il tombe sur un faux site de la BBC. Il doit ensuite remplir des formulaires (faisant gagner de l’argent aux pirates) et partager le lien pour « voir la vidéo ».

Septembre

Deux événements majeurs font la une des journaux en septembre : Le piratage du service de cloud computing iCloud de Apple et la vulnérabilité Bash appelée ShellShock.

Des centaines de photos de célébrités nues sont affichées sur le site 4chan, parmi elles Jenny McCarthy, Rihanna, Kristin Dunst, Kate Upton, et Jennifer Lawrence.

https://i0.wp.com/www.cnetfrance.fr/i/edit/2013/03/39788773/620x465/icloud.jpeg?resize=375%2C269&ssl=1

La vulnérabilité ShellShock permet quant à elle d’exécuter des commandes arbitraires sur une machine distante à l’aide de variables bricolées. Des millions de machines sont vulnérables.

https://i0.wp.com/1.bp.blogspot.com/-VQ8KDBhjMDM/VCPBgN-AVvI/AAAAAAAAgd8/TLel5x_Xmeo/s1600/bash-shellshock.png?resize=531%2C328&ssl=1

Octobre

Cette fois c’est au tour de Dropbox, le service de stockage et de partage de fichiers, de subir un piratage de 7 millions d’utilisateurs. Dropbox indique cependant que le vol à dû se produire via un site tiers.

https://i0.wp.com/resourcefulbusiness.com//wp-content/uploads/2013/12/dropboxicon.png?resize=262%2C236&ssl=1

Cet incident se produit juste quelques jours après le piratage de 100 000 comptes Snapchat dont la cause serait également due à un service tiers.

Novembre

Le site caché Silk Road 2.0 (route de la soie) permettant de vendre et d’acheter des produits illicites est saisi par le FBI. Son administrateur Blake Benthall, sous le pseudonyme « Defcon » est arrêté en Californie.

https://upload.wikimedia.org/wikipedia/commons/0/0b/Silk_Road_Seized.jpg

Ce même mois, le cauchemar commence pour Sony qui se fait pirater par un groupe de pirates appelé #GOP (Guardians of Peace – Gardiens de la Paix).

De nombreuses données privées sont récupérées dont des films qui n’étaient pas encore sortis.

Décembre

Le groupe de hackers GOP continue sur sa lancée et publie cette fois des informations personnelles sur des célébrités comme Brad Pitt. D’autres données financières sur les films sont également exposées ainsi que des factures ou encore des comptes bancaires.

Et enfin, le site de partage de fichier torrent The Pirate Bay a récemment été stoppé. Seulement il a été remis en ligne quelques heures après avec un drapeau flottant.

piratebay

Ce n’est d’ailleurs pas la première fois que The Pirate Bay tombe puis revoit le jour rapidement.

Et pour 2015 ?

Voici maintenant des pronostics sur ce qu’on risque de rencontrer en 2015.

D’autres (vieilles) failles découvertes

HeartBleed, ShellShock, OpenSSL, toutes ces failles laissent perplexe, on découvrira probablement encore d’autres failles dans les systèmes de tous les jours en 2015.

Les attaques contre l’Internet des Objets vont augmenter rapidement

On aura de plus en plus d’objets connectés dans notre quotidien, et autant de failles qui seront découvertes. Des types de logiciels malveillants particuliers naîtront et seront spécialement conçus pour s’attaquer à des objets connectés.

Les services de stockage Cloud toujours attaqués

Entre DropBox, Google Drive, iCloud, il est très probable que l’informatique en nuage soit encore malmenée en 2015. Les données privées qu’ils contiennent font d’eux des cibles privilégiées des pirates.

Et bien d’autres

L’espionnage informatique va probablement s’intensifier, et le nombre d’attaques contre les organisations gouvernementales et autres entreprises du secteur de la défense risque d’augmenter fortement.

 

Préparez vous donc à une nouvelle année remplie d’événements en hacking/piratage !

Joyeuses Fêtes à tous, et Bonne année 2015 en avance !

Articles similaires

Réseaux sociaux

29400
abonnés
Instagram
155000
abonnés
YouTube

Articles Populaires

 

cyberiniFORMEZ-VOUS, apprenez en ligne à VIE et faites carrière dans la cybersécurité.
Accéder à Cyberini
Menu