Un hacker révèle les informations personnelles de 20.000 agents du FBI

Alors que les Etats-Unis avaient les yeux tournés vers le Super Bowl, dimanche, un hacker a promis qu'il diffuserait en ligne une liste de plus de 20.000 agents du FBI et plus de 9000 officiers du Département de la Sécurité intérieure du pays (DHS).

Juste après le coup d'envoi du match, le cybercriminel a partiellement tenu promesse en publiant une liste de 9000 employés du DHS. Lundi, moins de 24 heures plus tard, le hacker, qui souhaite rester anonyme, a diffusé le reste des données qu'il avait promises.

« Vive la Palestine, vive Gaza », disait un message au début du fichier, qui comprenait aussi le hashtag « #FreePalestine ».

Dimanche, le hacker a fourni à Motherboard une copie des données. La liste comprend des noms, des adresses e-mail (dont la plupart ne sont pas accessibles au public), et des intitulés de postes, comme par exemple « directeur adjoint », « expert en sécurité », « agent spécial » et bien d'autres encore. La liste inclut également les noms de plus de 1000 employés du FBI spécialisés dans le renseignement.

Motherboard a joint certains numéros figurant sur la liste, et la plupart correspondaient aux noms indiqués, même si certains renvoyaient vers des bureaux du FBI. Le FBI n'a pas souhaité faire de commentaires, nous redirigeant vers le Département de la Justice, dont un porte-parole nous a indiqué lundi que le département « enquêtait sur un accès non-autorisé à l'un de ses systèmes contenant des informations personnelles sur ses employés. »

« L'enquête se poursuit ; toutefois, rien n'indique à cet instant que des informations sensibles et personnelles aient été piratées », a affirmé Peter Carr, du Département de la Justice, dans un communiqué.

Le communiqué semble confirmer ce que le hacker a rapporté à Motherboard. Le cybercriminel nous a contactés grâce à une adresse e-mail piratée du Département de la Justice en début de semaine dernière, et affirme avoir obtenu les données volées en piratant ce compte avant de l'utiliser pour se connecter à un portail du Département.

Après avoir réussi à convaincre un autre employé de lui donner un code d'accès au portail, le hacker s'y est connecté et a ainsi pu accéder à une machine virtuelle. De là, il dit avoir pu accéder à trois ordinateurs différents, dont un qui appartenait à la personne dont il avait piraté l'adresse e-mail. Quant aux bases de données concernant les employés du FBI et du DHS, il les a trouvées sur l'intranet du Département de la Justice, assure-t-il.

Michael Adams, un expert en sécurité des données qui a servi pendant plus de vingt ans dans les Opérations Spéciales américaines, a sévèrement critiqué le gouvernement américain pour son incapacité à protéger ses données, surtout après un piratage récent et très inquiétant de l'OPM, l'agence gouvernementale qui gère les informations personnelles des employés.

« N'en ont-ils donc tiré aucune leçon ? Ils n'appliquent même pas les bases en matière de sécurité. C'est totalement inacceptable », fulmine Adams, que nous avons contacté.

La publication de ces données fait une suite à une longue série d'attaques contre des employés du gouvernement américain. En octobre, un groupe de hackers qui se faisait appeler "Crackas With Attitude" (CWA) avait piraté l'e-mail personnel du directeur de la CIA, John Brennan. Les "hacktivistes" avaient ensuite ciblé plusieurs autres hauts fonctionnaires, parmi lesquels le Directeur du renseignement national James Clapper, un membre de la Maison Blanche, et bien d'autres encore.

L'année dernière, les hackers avaient aussi réussi à s'introduire sur un portail de la police américaine, accédant ainsi à des outils de diffusion des informations personnelles de nombreux citoyens. Grâce à cela, ils purent aussi télécharger des bases de données concernant des employés fédéraux. En novembre, les hackers de CWA révélèrent deux listes contenant des informations personnelles sur des agents de police, l'une comptant 2300 noms et l'autre 1500.

Visiblement, les hackers de CWA ont partagé ces bases de données avec d'autres groupes. En janvier, un autre groupe de cybercriminels a diffusé une liste de 80 officiers de police de Miami.

On ignore si les mêmes personnes sont derrière ces multiples "exploits". La personne (ou le groupe) derrière le compte Twitter qui a diffusé la liste d'employés du DHS dimanche a affirmé à Motherboard que ces données ne provenaient pas du hacking réalisé l'an dernier, et n'avoir aucun lien avec Cracka, le chef du groupe CWA.

Pourtant, le compte en question a utilisé le hashtag #FreePalestine dans plusieurs tweets. C'est le même hashtag qu'utilisent Cracka et ses associés depuis le début de leurs actions pour afficher leur soutien à la Palestine, qui motive selon eux leurs activités.

Dans l'un de ses premiers tweets, qui a depuis été effacé, le compte Twitter qui a diffusé les données présentait "@Fruityhax" comme son "leader". L'an passé, après le hacking de l'adresse e-mail de John Brennan, le compte Twitter Fruityhax avait été lié à un hacker connu seulement sous le nom de Cubed, qui se présentait comme l'un des chefs de CWA, avec Cracka.

« Ce n'est pas juste un piratage isolé, assure Adams. C'est une attaque en cours contre le gouvernement des Etats-Unis, et on ignore si ça vient d'un ou plusieurs acteurs. »