Un chercheur en cybersécurité a découvert un catalogue de 711 millions d’adresses e-mail compromises, utilisées pour envoyer des logiciels malveillants. Voici comment savoir si votre courriel est concerné.
Un robot spammeur associé à un catalogue de 711 millions d’adresses e-mail volées, librement accessibles sur pages d’un serveur web : c’est ce qu’a découvert un chercheur néerlandais en sécurité, qui tient un blog sous le pseudonyme de Benkow. Le spam (ou pourriel) est l’un des fléaux bien connu des internautes, qui se manifeste par des montagnes de courriels (souvent publicitaires) non sollicités. Plus sournois encore, son petit frère, le phishing (ou hameçonnage), recourt à des liens ou scripts malveillants dans le contenu des messages afin de vous dérober des données personnelles (bancaires, ou mots de passe …). C’est le principe utilisé par ce spambot, intitulé Onliner Spambot, qui envoie un logiciel malveillant (intitulé Ursnif) aux internautes… en se faisant passer pour les personnes dont l’adresse e-mail a été dérobée. Le point sur son fonctionnement, et comment savoir si vous êtes concernés.
Un site pour savoir si vous êtes concernés
Première particularité de Onliner Spambot : sa taille. “Avant cela, le plus gros répertoire public d’adresses e-mails piratées utilisées pour des spams que j’ai pu voir ne contenait ‘que’ 393 millions d’enregistrements”, écrit le spécialiste en cybersécurité (et directeur régional d’une branche de Microsoft en Australie) Troy Hunt sur son blog. Particularité du script : les e-mails sont enregistrés avec les serveurs SMTP (permettant l’envoi de mail sortant) et le port de connexion, de quoi se faire passer pour un véritable internaute aux yeux des filtres anti-spam. Les courriels envoyés comportent des liens pointant vers le malware Ursnif, ainsi que l’explique Benkow. Si l’internaute clique, il déclenchera l’envoi de nouveaux spams à son répertoire, et les courriels de ces derniers seront ajoutés à la liste des e-mails usurpés !
RISQUES. Comment savoir si vous êtes touchés ? Troy Hunt, qui est aussi le créateur du site “Have I been pwned?” (En français, “est-ce que je me suis fait avoir ?”), a mis en ligne la liste de 711 millions d’adresses e-mails sur son site, qui comportait déjà toutefois 27% des enregistrements. Ce site est mis à jour à chaque fois qu’un vol de données est déclaré par un service web (par exemple, LinkedIn, à qui 164 millions d’adresses e-mail et de mots de passe ont été subtilisés en mai 2016). Il suffit de renseigner son adresse mail pour savoir quels services associés à celle-ci ont connu des vols de données, et de quel type (e-mail, mots-de passe…). Si c’est le cas, et que vous utilisez le même mot de passe sur votre compte courriel et sur le service associé, vous feriez bien de le changer au plus vite.
Et ce n’est pas tout : parmi les fichiers disponibles en clair sur le serveur de Online Spambot, on trouve aussi des fichiers textes contenants les mots de passe (non cryptés) de certains des comptes e-mails, poursuit Troy Hunt. Ce dernier refuse toutefois catégoriquement d’exposer les mots de passe en question sur le site “Have I been pwned?”, pour des raisons évidentes de sécurité et de confidentialité. Selon les informations de Benkow et de Troy Hunt, le serveur d’Onliner Spambot serait localisé aux Pays-Bas, et les autorités auraient depuis été averties.
Avec sciencesetavenir
