BOSTON (AP) – Un pirate qui se serait fait passer pour le PDG d’une institution financière prétend avoir obtenu l’accès à la base de données de plus de 80 000 membres d’InfraGard, un programme de sensibilisation géré par le FBI qui partage des informations sensibles sur la sécurité nationale et les menaces de cybersécurité avec les fonctionnaires et les acteurs du secteur privé qui gèrent les infrastructures critiques américaines. Le pirate a posté des échantillons qui, selon eux, provenaient de la base de données sur un forum en ligne populaire auprès des cybercriminels le week-end dernier et a déclaré qu’il demandait 50 000 $ pour l’ensemble de la base de données.
Le pirate informatique a obtenu l’accès au portail en ligne d’InfraGard en se faisant passer pour le PDG d’une institution financière, ont-ils déclaré au journaliste indépendant en cybersécurité Brian Krebs, qui a dévoilé l’histoire. Ils ont qualifié le processus de vérification d’étonnamment laxiste.
Le FBI a refusé de commenter. Krebs a rapporté que l’agence lui avait dit qu’elle était au courant d’un faux compte potentiel et qu’elle examinait la question.
L’adhésion d’InfraGard est un véritable Who’s Who de l’infrastructure critique. Il comprend des chefs d’entreprise, des professionnels de l’informatique, des militaires, des forces de l’ordre nationales et locales et des responsables gouvernementaux impliqués dans la supervision de la sécurité de tout, du réseau électrique et des transports, aux soins de santé, aux pipelines, aux réacteurs nucléaires, à l’industrie de la défense, aux barrages et usines d’eau et services financiers. Fondé en 1996, il s’agit du plus grand partenariat public-privé du FBI, avec des alliances locales affiliées à tous ses bureaux extérieurs. Il partage régulièrement des avis de menace du FBI et du Department of Homeland Security et sert de site de médias sociaux à huis clos pour certains initiés.
La base de données contient les noms, les affiliations et les coordonnées de dizaines de milliers d’utilisateurs d’InfraGard. Krebs a signalé son vol pour la première fois mardi.
Le pirate informatique, sous le nom d’utilisateur USDoD sur le site BreachForums, a déclaré sur le site que les enregistrements de seulement 47 000 des membres du forum – un peu plus de la moitié – incluent des e-mails uniques. Le pirate a également publié que les données ne contenaient ni numéros de sécurité sociale ni dates de naissance. Bien que des champs existaient dans la base de données pour ces informations, les utilisateurs soucieux de la sécurité d’InfraGard les avaient laissés vides.
Cependant, le pirate informatique a déclaré à Krebs qu’ils avaient envoyé des messages aux membres d’InfraGard, se faisant passer pour le PDG de l’institution financière, pour essayer d’obtenir plus de données personnelles qui pourraient être transformées en armes criminelles.
L’AP a atteint le pirate sur le site BreachForums par message privé. Ils ne diraient pas s’ils avaient trouvé un acheteur pour les disques volés ni ne répondraient à d’autres questions. Mais ils ont dit que l’article de Krebs « était exact à 100% ».
Le FBI n’a pas expliqué comment le pirate a pu le tromper pour qu’il approuve l’adhésion à InfraGard. Krebs a rapporté que le pirate avait inclus une adresse e-mail de contact qu’il contrôlait – ainsi que le vrai numéro de téléphone portable du PDG – lors de sa demande d’adhésion à InfraGard en novembre.
Krebs a cité le pirate informatique disant qu’InfraGard avait approuvé l’application début décembre et qu’ils avaient pu utiliser l’e-mail pour recevoir un code d’authentification à usage unique.
Une fois à l’intérieur, a déclaré le pirate informatique, les informations de la base de données étaient faciles à obtenir avec un simple script logiciel.