Ils enquêtent sur un prétendu piratage de l'armée : quelles données sont à vendre et à quoi servent-elles ?
L' armée argentine analyse une publication d'un cybercriminel sur un célèbre forum d'échange d'informations personnelles, qui prétend contenir des informations sur 50 000 membres de la force.
Différents secteurs gouvernementaux, du ministère de la Défense à l’ Agence fédérale de cybersécurité , analysent l’ampleur potentielle du piratage présumé qui a conduit à la fuite.
L'information a été publiée par Birmingham Cyber Arms LTD, une société qui mène des enquêtes sur les menaces et surveille les piratages et les fuites, tant dans les secteurs public que privé. « Un acteur malveillant vend des données sur 50 000 militaires en Argentine au format PDF : pièce d'identité, date de naissance, lieu de résidence, documents de voyage, diplômes, etc. », a publié Sheriff sur son système de surveillance des menaces.
Mauro Eldritch, directeur de l'entreprise, a expliqué à Clarín quelles informations sont proposées : « Il s'agit d'un lot de 50 000 documents dans des formats mixtes, y compris des PDF et des captures d'écran, qui indiqueraient le niveau d'accès de l'attaquant au système d'où ils ont été extraits », a-t-il expliqué.
L'analyste a expliqué quelles informations sont proposées en fonction de ce qui peut être déduit du message : « Elles semblent avoir été extraites de manière incrémentielle à partir d'un système de documents, ce qui indiquerait une vulnérabilité permettant la visualisation de données (dans ce cas, des profils d'utilisateurs) identifiées par une valeur croissante ( comme 1, 2, 3, 4 ) », a-t-il expliqué. C'est ce qu'on appelle en cybersécurité « IDOR », Insecure Direct Object Reference .
"Ce type de vulnérabilité permet à tout utilisateur malveillant de continuer la séquence et de visualiser des données étrangères, en étant capable de gratter la base de données (c'est-à-dire de la visiter séquentiellement et automatiquement pour la répliquer d'une manière autorisée par le système)", a-t-il poursuivi. Par exemple, si une adresse Web se termine par « 445 », la changer en « 446 » vous permet d'afficher le profil d'un autre utilisateur.
Publication sur un forum de cybercriminalité bien connu : informations sur l'armée argentine à vendre. Photo : Capture du shérif
« Le lot contient beaucoup d' informations sensibles car il est de nature militaire , depuis les dossiers académiques et les photographies jusqu'aux informations de voyage et aux détails familiaux des soldats, il pourrait donc s'agir d'une copie de sauvegarde d'un système contenant des fichiers », ajoute-t-il.
L'armée a publié mardi dernier une déclaration indiquant que « cela pourrait impliquer l'accès à des données administratives qui ne compromettraient pas les capacités de la Force ». Clarín a contacté l'armée pour obtenir des informations actualisées sur l'incident, et ils ont confirmé que la plainte déposée le 8 mai auprès de la Division de cybercriminalité de la Police fédérale a été élargie ce jeudi.
Informations personnelles des membres de l'Armée, à vendre. Photo : Archives
Une violation de données (ou fuite, comme on l’appelle dans le domaine de la cybersécurité) est l’exposition non autorisée d’informations. Il peut s’agir de votre nom complet, de votre adresse, de votre adresse e-mail, de votre numéro de téléphone, de vos mots de passe ou de vos fichiers. Il peut également s’agir d’informations sensibles, comme c’est le cas pour l’armée.
« L'élément essentiel de ce qui est prétendument en vente est le dossier militaire, où l'on peut voir en détail la carrière militaire de chaque membre, où il a servi (« arme ou service »), dans quel rôle et avec quel grade à l'époque. Il s'agit essentiellement du passé militaire de chaque personne, qui révèle souvent des informations sensibles non seulement sur la personne, mais aussi sur les mouvements internes de Destiny (le destin en tant que lieu militaire) », explique Eldritch.
Ces informations sont souvent commercialisées sur des forums underground et des chaînes Telegram, entre autres sites plus ciblés par les cybercriminels. Ces fuites ont souvent des destinations diverses, allant de la vente sur le marché noir à l’exploitation de ces données pour mener des attaques de phishing , ces faux e-mails qui incitent les utilisateurs à visiter de faux sites Web et services.
En règle générale, une fois divulguées, les données finissent sur les marchés noirs (le soi-disant dark web, bien qu'elles soient également vendues sur Telegram, qui ne réglemente aucune activité illicite), sont utilisées pour toutes sortes de fraudes , ou même comme passerelle pour des attaques de ransomware .
Patricia Bullrich et Luis Petri rencontrent des membres de l'armée en mars. (Photo : Juan José García)
L'Argentine a connu un grand nombre d'attaques contre des entités étatiques ces dernières années, de la Direction nationale des migrations en 2020 , du Sénat de la Nation en 2022 , du PAMI et du CNV en 2023 et l'un des cas les plus importants, RENAPER l'année dernière.
Ce média a pu accéder aux informations divulguées à RENAPER l'année dernière et a découvert que les noms, prénoms, dates de naissance, date de décès (le cas échéant) et numéros d'identification de millions d'Argentins ont été retrouvés.
Et il y avait même des dossiers très spécifiques, qui contenaient des bases de données d'adresses d'étrangers résidant en Argentine et même des informations sur le personnel de la Marine avec leurs noms complets et leurs grades militaires , ce qui indique que ce nouveau cas ne serait pas le premier à affecter les Forces armées.
Déclaration de l'armée sur le piratage informatique présumé. Source : Armée argentine
Clarin
