Le FBI pirate des milliers de PC à l’insu des utilisateurs pour les protéger contre Hafnium
Le FBI a dû employer une méthode inédite pour éradiquer le dangereux groupe de hackers Hafnium : pirater les PC encore infectés pour supprimer manuellement les backdoors installées par les pirates ! L'agence, qui a obtenu l'aval d'un juge texan, affirme essayer de prévenir les internautes concernés lorsque c'est possible, mais a dû dans de nombreux cas effectuer ce piratage à l'insu des utilisateurs.
Début Mars, Microsoft révélait que le groupe de hackers Hafnium était parvenu à exploiter une série de failles 0-day dans les serveurs Microsoft Exchange. Ces pirates visiblement basés en Chine ont ainsi obtenu un accès à plus de 30 000 organisations américaines. Microsoft précisait alors que les pirates parvenaient via diverses techniques à installer des backdoors sur les machines visées, leur permettant de contrôler totalement ses cibles.
Windows 10 a depuis bénéficié de correctifs, mais compte-tenu de la gravité de l'attaque et des risques qu'elles posent en matière d'espionnage et de sécurité nationale, le FBI a décidé de faire le nécessaire pour empêcher les pirates d'accéder à ces ordinateurs. C'est donc dans ce contexte que l'agence fédérale a obtenu d'un juge une autorisation inédite : celle de pirater les machines infectées par des backdoors en utilisant le shell et les outils des pirates Hafnium.
Le piratage du FBI serait un “succès total”
Et à en croire le FBI, l'opération est un succès total : “le FBI a obtenu la suppression [du backdoor] en transmettant une commande via le shell web au serveur de sorte que le serveur supprime uniquement ce shell web (identifié par son chemin d'accès unique)”. Or, de manière assez cocasse, le FBI n'a pas pu avertir tous les utilisateurs que ses équipent ont dû pirater leur machine afin de les protéger contre un dangereux groupe de pirates – et ce, malgré l'autorisation en ce sens délivrée par un juge texan.
Le FBI explique que des milliers de systèmes étaient déjà patchés lorsque l'opération a été lancée. Le but du FBI n'était par ailleurs que de “supprimer le shell web laissé lors des premières attaques parce qu'il aurait pu être utilisé pour maintenir et obtenir des accès plus élevés aux réseaux américains sans autorisation”. A priori la mention des “réseaux américains” implique que les PC localisés hors des Etats-Unis n'étaient pas concernés par l'opération.
Lire également : Attention ce dangereux malware infecte encore plus facilement les PC Windows 10
Dans un communiqué de presse le Démartement américain de la Justice estime que “cette suppression autorisée par un tribunal […] démontre l'engagement du département contre les activités de piratage en utilisant tous les outils juridiques à notre disposition, et pas seulement des assignations en justice”. En ce qui concerne les failles exploitées par le groupe Hafnium, toutes ont été corrigée dans Windows 10 lors du dernier Patch Tuesday d'avril 2021.
Source : The Verge