BFM Tech

Sur le web, les accès pirate aux serveurs d’entreprise se vendent pour une bouchée de pain

-

- - -

Des cybercriminels probablement d’origine russe ont créé une énorme place de marché permettant de pirater plus de 70.000 serveurs répartis dans le monde, dont plus de 2.000 en France. Plongée dans les arcanes du cybercrime.

Peu de gens le savent, mais l’un des outils de piratage les plus en vogue c’est… le serveur d’entreprise. Les cybermalfrats adorent s’en servir pour lancer en douce leurs opérations à l’insu des propriétaires : spam, hacking, transactions frauduleuses, attaques par déni de service distribué, espionnage, etc. Son rôle de plateforme intermédiaire permet de brouiller les pistes en cas de pépin. De plus, c'est souvent une machine plutôt performante. Est-ce qu’il est difficile de mettre la main sur un tel appareil ? Non, il suffit de se connecter sur Internet et d’avoir quelques dollars en poche!

Des chercheurs en sécurité de Kaspersky viennent en effet de découvrir et d’analyser une place de marché où se vendent de nombreux accès à des serveurs Windows accessibles à distance (par le protocole Remote Desktop Protocol). Baptisé xDedic, ce site se veut très professionnel, avec des tests de qualité, des guides en ligne, un service de support et même une procédure de remboursement. Les administrateurs, visiblement d’origine russe, se sentent parfaitement en sécurité car il n’y a même pas besoin d’avoir le navigateur Tor pour accéder à xDedic : on peut s’y connecter avec n’importe quel navigateur. Ensuite, il suffit de créer un compte pour effectuer ses emplettes, comme nous avons pu le vérifier.

-
- © -

Le succès est au rendez-vous. Selon Kaspersky, le site a été créé en 2014, mais il est devenu populaire réellement qu’un an après. En juin 2015, le site proposait moins de 5.000 serveurs. Désormais, plus de 70.000 serveurs sont référencés sur xDedic et indexés en fonction de leur provenance géographique et de leurs caractéristiques techniques.

Parmi les plus gros contingents figurent, au dernier comptage, le Brésil (6793), la Chine (5400), la Russie (4052) et l’Inde (3949). Mais la France n’est pas si mal classée, avec 2088 serveurs piratés. Ces serveurs sont proposés par plus de quatre cent vendeurs qui utilisent xDedic comme intermédiaire de vente. "On y trouve de tout : des serveurs d’universités, de banques, de services web, de grandes entreprises, etc.", souligne Vicente Diaz, chercheur en sécurité chez Kaspersky.

-
- © Capture écran bfmtv.com

Quand on clique sur l’un des serveurs listés, on accède à une fiche très détaillée : localisation géographique, version de Windows, type de processeur, mémoire et bande passante disponibles, antivirus présents, etc. Le fiche indique s’il y a un logiciel de point de vente installé, ce qui est particulièrement intéressant pour les voleurs de données de cartes bancaire. Elle précise également les sites web qui sont accessibles depuis cette machine : webmail, sites de poker, sites de rencontre, etc.

L’adresse IP, en revanche, est tronquée : il faut payer 0,30 dollars pour la voir. Et pour acquérir l’accès lui-même, il faut débourser entre 6 et 30 dollars, en fonction de la qualité de la machine. Un serveur avec accès administrateur sera plus cher qu’un serveur avec accès utilisateur basique, par exemple.

-
- © Capture écran bfmtv.com

Mais ce qui fait vraiment la différence de xDedic, c’est la qualité du service offerte. "Les administrateurs de xDedic vérifient que tous les serveurs proposés sur le site sont réellement accessibles. Ils proposent également une palette d’outils pour s’y connecter et y installer des malwares", souligne Vincente Diaz. Le site xDedic dispose même d’une procédure de remboursement, pour le cas improbable où l’accès acheté ne fonctionnerait pas. Mais attention : le client pirate ne doit pas en abuser sous peine de payer une pénalité ou de se voir banni.

-
- © Capture écran bfmtv.com

Qui se cache derrière xDedic ? Difficile à dire, évidemment. Les données d’enregistrement du site mentionnent un certain "Mikhail Mikhail", résidant au 21 rue Molova à Moscou. Ce qui est très probablement une fausse identité. Durant leur enquête, les analystes de Kaspersky sont également tombés sur E-Investhost.com, un hébergeur dit "bullet-proof" (c’est-à-dire ultra-sécurisé) utilisé régulièrement par des cybercriminels russes. Seules les forces de l’ordre peuvent désormais aller plus loin. Kaspersky, de son côté, va partager les données récoltées pour protéger au mieux les victimes.

Ci-dessous, l'analyse complète de Kaspersky: