Le militaire serait également le troisième membre du groupe de piratage responsable de la violation des clients de la société d’entreposage de données Snowflake plus tôt dans l’année.
Des documents judiciaires dévoilés lundi montrent que les autorités américaines ont arrêté un soldat de 20 ans, Cameron John Wagenius, accusé de deux chefs d’accusation de vente ou tentative de vente d’enregistrements téléphoniques confidentiels sans l’autorisation du client.
Mais derrière les rares détails fournis dans l’acte d’accusation soumis au tribunal américain du district ouest de Washington à Seattle se cache une histoire bien plus vaste, selon le journaliste en cybersécurité Brian Krebs.
Les enregistrements téléphoniques que Wagenius est accusé de vendre pourraient inclure ceux de la vice-présidente Kamala Harris et du président élu Donald Trump, qui font partie d’une mine d’enregistrements d’appels d’AT&T et de Verizon divulgués en novembre par un pirate informatique utilisant le surnom de « Kiberphant0m ».
Selon Krebs, les autorités pensent désormais que Wagenius est Kiberphant0m, l’un des principaux protagonistes du groupe de piratage UNC5537 qui a mené une série d’attaques contre les clients de Snowflake.
Un autre membre présumé de ce groupe, Connor Riley Moucka (alias « Judische »), a été arrêté au Canada en novembre. Un troisième accusé d’être impliqué dans l’incident de Snowflake, le citoyen américain John Erin Binns, a été arrêté par les autorités turques en mai dans le cadre d’une autre attaque contre T-Mobile en 2021.
Dans l’affaire Wagenius, le lien militaire semble significatif. Krebs a rapporté en novembre que l’analyse des comptes en ligne de Kiberphant0m par des chercheurs remontant au début de 2022 avait révélé des indices selon lesquels il pourrait s’agir d’un soldat américain récemment basé en Corée du Sud.
Des chercheurs, dont Allison Nixon, de l’Unité 221B, ont pu rejoindre certains des points tracés par l’activité en ligne parfois imprudente et vaniteuse des pirates informatiques sur plusieurs personnages et plates-formes. Comme l’a documenté Nixon sur Bluesky, cela incluait des pirates informatiques qui lui lançaient des menaces ainsi qu’à d’autres chercheurs essayant de connecter des personnages en ligne à des identités réelles.
Les preuves trouvées au cours de cette recherche étaient suffisamment révélatrices pour suggérer que ce n’était qu’une question de temps avant que la véritable identité de Kiberphant0m ne soit découverte.
Partager la responsabilité de la sécurité
Avant la violation de Snowflake, le nom de l’entreprise n’était qu’un autre élément de la chaîne d’approvisionnement des entreprises d’aujourd’hui qui ne reçoit généralement presque aucune attention. Il s’est ensuite avéré que de nombreuses entreprises l’utilisaient pour stocker de grandes quantités de données sensibles.
Certains de ces comptes étaient protégés par rien de plus qu’un mot de passe et un nom d’utilisateur, c’est-à-dire sans aucune authentification multifacteur (MFA) activée. Cela a donné une idée aux pirates : pourquoi ne pas parcourir les forums du darknet à la recherche des mots de passe et des noms d’utilisateur permettant d’accéder à ces comptes ?
Cette intuition a conduit à la violation des données qu’ils stockaient sur la plate-forme d’environ 160 clients de Snowflake, notamment Ticketmaster, Advance Auto Parts, Neiman Marcus et Santander. Les criminels ont exigé des rançons et ont reçu au moins 2,5 millions de dollars de victimes anonymes, a-t-on affirmé plus tard dans des documents judiciaires.
Quelle était la responsabilité de Snowflake dans tout cela ? Sans doute aucun. Il appartenait aux clients d’activer la MFA s’ils le souhaitaient tout en sécurisant leur mot de passe. Bien que cela soit vrai, cela a suscité des critiques selon lesquelles s’il existait un moyen pour les administrateurs d’appliquer l’authentification multifacteur à leurs utilisateurs Snowflake, il n’était pas facile à mettre en œuvre ou à activer par défaut.
C’est un bon exemple des zones grises qui affligent encore le modèle de responsabilité partagée en matière de sécurité du cloud : quels contrôles de sécurité doivent être laissés aux clients et quels sont les rôles de la plateforme ?
En septembre, Snowflake a annoncé qu’à partir d’octobre, tous les comptes d’utilisateurs bénéficieraient de l’authentification MFA par défaut avec une longueur minimale de mot de passe passée de huit à quatorze caractères.