Cybersécurité : Google victime d'un piratage par des hackers se revendiquant du célèbre groupe cybercriminel ShinyHunters

C'est une cyberattaque contre un géant de la tech. Google a révélé le 5 août dernier avoir été victime d'un piratage au mois de juin. Un groupe de hackers est parvenu à s'emparer des données d'une partie de ses clients. Si "les données récupérées par les cybercriminels se limitaient à des informations commerciales basiques et pour la plupart déjà accessibles publiquement", comme l'a assuré la multinationale sur son blog officiel, cela montre bien que même les plus grands groupes peuvent être victimes de failles de cybersécurité. D'après Google, les pirates se réclament d'un célèbre groupe nommé ShinyHunters, connu pour des attaques contre de grandes marques comme LVMH, Allianz Life, Pixlr ou encore Adidas.

Le géant de la Silicon Valley avait pourtant alerté lui-même sur les risques de piratages par les ShinyHunters quelques jours auparavant. Google Threat Intelligence, le groupe d'experts de la cybersécurité de Google, avait émis une alerte sur le blog officiel de la multinationale. Ils y décrivaient des attaques visant un logiciel utilisé par de nombreuses entreprises : Salesforce, une base de données destinée aux commerciaux des entreprises, dans laquelle ils conservent les informations (noms, adresses, numéros de téléphone, etc.) de leurs clients.

Des arnaques sous forme de "vishing"

Les attaques décrites par les experts de Google, et dont le géant de la tech a été victime lui-même, sont menées à l'aide d'une technique appelée "vishing" comme "voice" (voix) et phising (hameçonnage). Le pirate passe un appel téléphonique à un salarié, au cours duquel il se fait souvent passer pour un membre de l'équipe de support informatique de l'entreprise. Il guide sa victime pour qu'elle télécharge un logiciel frauduleux qui ressemble à s'y méprendre à l'un de ceux qu'elle utilise dans son travail. D'après Google Threat Intelligence, il s'agit souvent d'une copie du logiciel Salesforce's Data Loader qui sert à importer des informations depuis Salesforce. Une fois le logiciel espion installé sur l'ordinateur de la victime, les pirates peuvent accéder tranquillement à la base de données et subtiliser les informations des clients de l'entreprise.

Les cybercriminels réclament ensuite une rançon à l'entreprise sous la forme d'"un paiement en bitcoin sous 72 heures", rapporte Google Threat Intelligence. Et les hackers menacent de vendre les données récupérées sur le dark web si la société choisit de ne pas payer. D'après l'expert en cybersécurité Clément Domingo sur franceinfo, des données personnelles valent "à partir de 80 centimes, un euro pour un nom, un prénom, un numéro de téléphone et une adresse postale." Si le dossier contient des données bancaires ou, plus lucratif encore, médicales, "on peut monter jusqu'à une dizaine, une quinzaine d'euros." En réalité, "c'est surtout la masse qui fait que la base de données va être chère", conclut Clément Domingo.

Des hackers se revendiquant des ShinyHunters

Dans son post sur le blog officiel du géant de la Silicon Valley, Google Threat Intelligence précise que les pirates qu'ils ont suivis "ont revendiqué une affiliation avec le célèbre groupe de hackers ShinyHunters, probablement afin d'accroître la pression sur leurs victimes." Nommé en référence au jeu vidéo Pokemon, dans lequel les joueurs peuvent collecter des "shiny", des pokémons rares, ce groupe de hackers "a émergé en avril 2020", selon la société spécialisée en cybersécurité Intel471. Ils étaient alors actifs sur le site RaidForum, une plateforme qui servait entre autres à s'échanger des données volées et qui a été fermée en 2022.

Difficile de dire précisément qui sont ces hackers, puisque par essence, ils recherchent la clandestinité. Mais il semble bien qu'une partie au moins d'entre eux se trouvent en France. En effet fin juin, cinq hommes ont été mis en examen à Paris, suspectés d'être membres des ShinyHunters, dont trois Français d'une vingtaine d'années. Ils sont soupçonnés d'avoir mené des cyberattaques sur "de nombreuses victimes en France et à l'étranger", selon la procureure de Paris Laure Beccuau, notamment sur les opérateurs téléphoniques SFR et Free, l'Education nationale ou encore France Travail. En 2022, un jeune Vosgien de 21 ans, Sébastien Raoult, avait déjà été interpellé à Rabat au Maroc, accusé lui aussi de faire partie des ShinyHunters. Il a ensuite été incarcéré trois ans au Maroc et aux Etats-Unis.