John Podesta a reçu un message sur son compte gmail (john.podesta@gmail.com) le samedi 19 mars 2016 à 4h34 du matin.  Cet email, ayant l’apparence d’une alerte de sécurité de Google, indiquait que l’utilisateur devait urgemment changer son mot de passe, pour éviter de se faire pirater. Pour ce faire, l’utilisateur avait à cliquer sur un bouton lui permettant de faire cette opération.

Le sujet de l’email était : « Quelqu’un possède votre mot de passe » (« Someone has your password »). L’expéditeur était identifié comme étant Google no-reply@accounts.googlemail.com

Des détails supplémentaires étaient donnés comme l’adresse IP de l’usurpateur et son pays de rattachement (en l’occurrence l’Ukraine)

La véritable adresse du site pointé par le bouton du message était, pour éviter d’être lue, abrégée par Bitly, un service de liens raccourcis. Elle se présentait donc de la manière suivante (j'ai modifié l'original) :

https://bit.ly/1PibTV3

Voici à quoi en définitive ressemblait le message (c’est un exemple réel reçu par un ancien membre du comité national démocrate) :

 

Scam

Il s’agit d’un cas typique d’escroquerie par hameçonnage (phishing scam).

Il se trouve que John Podesta informe Sarah Latham, sa chef de cabinet, de la réception de cet email. Elle le transfère le même jour pour avis à l’assistance informatique (help desk) de l’équipe d’Hillary. C’est Charles Delavan, un jeune technicien informatique qui traite le problème. Voici la traduction de la réponse qu’il envoie à Sarah, avec en copie la directrice de la communication Shane Hable :

« Sara,

Il s’agit d’un email valide (NDT : legitimate). John doit changer son mot de passe immédiatement, et s’assurer que la double authentification est activée pour son compte.

Il peut aller sur ce lien : https://myaccount.google.com/security pour faire les deux. Il est absolument impératif que cela soit fait AU PLUS VITE.

Si toi ou lui avez des questions, merci de me joindre au <numéro de téléphone>.

Charles Denevan du bureau d’assistance de HFA »

HFA est l’acronyme de Hillary For America.

A première vue, ce message est accablant pour le technicien. En tout cas, Sarah interprète ce message comme une validation de la réalité de l’email reçu par Google. La suite peut facilement se deviner :

John Podesta (ou celui qui gère son compte) a probablement cliqué sur le bouton dans le faux message. S’est ouvert alors une page de connexion sans doute similaire à l’interface Google de changement de mot de passe (pour éviter de se faire piéger, il aurait fallu relire attentivement l’URL dans la barre d’adresse), et l’ancien chef de cabinet de la Maison Blanche du temps de Bill Clinton, y a saisi en confiance ses identifiants, dont son mot de passe "p@ssw0rd". Evidemment le site, mis en place par un groupe de hackers russes appelé Fancy Bear, n’était là que pour récupérer ce mot de passe. Ce groupe est souvent cité comme étant lié au service de renseignement russe, le GRU (Direction générale des renseignements de l’Etat-Major des forces armées de la Fédération de Russie).

Une fois le scandale révélé, le technicien, contacté par le New York Times, assurera, contre toute attente, qu’il avait bien identifié que l’email était une arnaque. L’article rapporte qu’au lieu d’écrire «This is an illegitimate email », il a commis une erreur de frappe et a écrit le contraire : « This is a legitimate email ». Nombreux furent ceux qui le soupçonnèrent de mentir, en faisant remarquer que la forme utilisée de l’article indéfini anglais (« a » devant une consonne au lieu de « an » devant une voyelle) prouvait sa mauvaise foi. Or, recontacté par un journaliste de Slate, Charles Denevan affirmait que le New York Times avait mal retranscrit ses propos et que la faute consistait en l’oubli de la négation : au lieu de « This is a legitimate email », il avait voulu écrire « This is not a legitimate email. »

Pour sa défense, il indiquait que le changement de mot de passe avec l’activation de la double authentification, même si le message reçu était une arnaque, est une pratique recommandée en cas de tentative de hacking. Il fit aussi remarquer qu’il fournissait le bon lien dans son email pour faire l’opération, et que cette instruction n’avait pas été suivie par John Podesta ou son équipe. Enfin interrogé sur le fait qu’il a omis de rappeler dans son message qu’il ne faut surtout pas cliquer sur le bouton proposé, il admettra qu’avec le recul, il aurait dû le faire. Il pensait que c’était su, puisqu’il avait, à plusieurs reprises, donné l’instruction de ne jamais cliquer sur des liens suspects.

Difficile de trancher sur la bonne foi de l’informaticien. Quoi qu’il en soit, on le voit, la technique utilisée est, somme toute, assez rudimentaire et revient toujours à la même méthode : soutirer le mot de passe de la part de l’intéressé lui-même.

Sources :

https://wikileaks.org/podesta-emails/emailid/34899

http://www.slate.com/articles/technology/future_tense/2016/12/an_interview_with_charles_delavan_the_it_guy_whose_typo_led_to_the_podesta.html

http://www.nytimes.com/2016/12/13/us/politics/russia-hack-election-dnc.html

https://en.wikipedia.org/wiki/Podesta_emails

https://en.wikipedia.org/wiki/Fancy_Bear

 

Dédicace à l'ingénieur support :

Rag'n'Bone Man - Human (Official Video)