Yandex : quand le « Google russe » se fait cyberespionner par les agences du « Five Eyes »
Le moteur de recherche et portail russe connu sous le nom de Yandex a été piraté par une ou plusieurs agences de renseignement appartenant à l’alliance Five Eyes. Confirmée par un porte-parole de l’entreprise, l’opération de cyberespionnage visait avant tout à dérober des informations techniques relatives aux processus d’authentification des utilisateurs.
Google aux quatre coins du globe, Baidu en Chine et Yandex en Russie. Voilà comment se résume la répartition des moteurs de recherche sur notre planète. Et le troisième nommé a récemment fait l’objet d’une cyberattaque vraisemblablement menée sous la houlette du Five Eyes, alliance regroupant les services de renseignement des États-Unis, de l’Australie, du Canada, du Royaume-Uni et de la Nouvelle-Zélande.
Découvert et partagé par l’agence de presse Reuters, l’incident a rapidement fait le tour du web. De un, parce que Yandex, soumis à un contrôle strict de la part du Kremlin, regroupe tout de même 108 millions d’utilisateurs mensuels, de la Russie à la Biélorussie en passant par le Kazakhstan et la Turquie. De deux, parce que l’attaque, attribuée à l’un des membres du « Groupe des cinq », remet d’actualité les tensions entre Vladimir Poutine et ses meilleurs ennemis.
Regin au rapport
Pour arriver à leurs fins, les hackers ont déployé le logiciel malveillant Regin, créé par la National Security Agency (NSA) et son homologue britannique, le Government Communications Headquarters (GCHQ), puis mis au jour en 2014 suite aux révélations d’Edward Snowden. Son utilisation se cantonne avant tout à des missions d’espionnage, entre collecte de données, captures d’écran et vol de mot de passe.
Dans l’affaire relayée par l’agence de presse britannique, Regin a été mis en place entre octobre et novembre 2018. Bien que le porte-parole de Yandex, en la personne d’Ilya Grabovsky, a confirmé l’incident, sans fournir plus de détails, les attaquants n’auraient selon lui pas atteint leurs objectifs. « L’attaque a été détectée très tôt par les équipes de sécurité de Yandex, et a été entièrement neutralisée avant qu’elle ne cause le moindre dommage », a-t-il déclaré, ajoutant « qu’aucune donnée des utilisateurs n’a été compromise par l’attaque ».
Des cibles bien précises
Si tel était le cas, il y a fort à parier que Yandex se serait bien gardé de révéler des informations si sensibles. D’après des sources toujours citées par Reuters, l’attaque en question visait à dérober des informations techniques relatives aux processus d’authentification des utilisateurs. Pour, à l’avenir, se faire passer pour un internaute de Yandex et accéder à ses messages privés, à titre d’exemple.
Réquisitionnée par le moteur de recherche, la firme de cybersécurité russe Kaspersky a quant à elle apporté quelques précisions sur l’identité des cibles : il s’agirait tout bonnement de développeurs de Yandex. Par ailleurs, une preuve mise en avant par certaines sources tendraient à confirmer l’attribution de l’opération : une partie du code trouvée au sein de Regin n’avait jusque-là jamais été utilisée, ce qui réduirait alors les probabilités selon lesquelles un hacker tiers aurait utilisé cet outil pour dissimuler son œuvre.
[ Source ]