Des plans et des documents liés au système du Dôme de fer israélien ont été dérobés des serveurs de plusieurs compagnies impliquées dans le développement du système, par le biais d’une technique sur Internet bien connue mais sournoise, selon un rapport publié mardi.

Les données ont été victimes de ce qui semble être un processus d’hameçonnage lancé par des pirates chinois qui ont installé des logiciels malveillants sur les serveurs de trois compagnies, s’offrant une « porte d’entrée » dans le système qui leur a permis d’entamer les recherches de documents spécifiques qu’ils semblaient rechercher.

Parmi les cibles, on trouve Rafael (Industries militaires d’Israël), le groupe Elisra et les Industries aérospatiales d’Israël. On ne connaît pas l’ampleur des dommages, le cas échéant, causés par la fuite.

Selon un rapport, l’opération d’hameçonnage a eu lieu en 2011 et 2012, quand les pirates ont dérobé des centaines de giga-octets de documents, présentations, graphiques et diagrammes liés au Dôme de fer, au programme Arrow III, aux UAV et autres documents techniques liés aux systèmes de défense.

L’histoire a été rendue publique par l’expert en cyber sécurité Brian Krebs, sur le fondement d’un rapport de la compagnie américaine Cyber Engineering Services Inc. (CyberESI).

Krebs a cherché des réponses des trois entreprises, n’en recevant qu’une d’IAI qui a parlé de « vieilles informations » a dit Krebs, citant un e-mail d’un porte-parole d’IAI, qui a déclaré que « l’information a été transmise aux autorités compétentes. IAI a entrepris des réparations pour éviter de tels incidents à l’avenir ».

La méthode d’hameçonnage, selon le rapport de la CyberESI, a été mise en œuvre par un groupe de pirates chinois nommé « Comment Crew », groupe gouvernemental aux liens étroits avec l’armée chinoise. Selon le PDG de CyberESI, Joseph Drissel, le groupe a été accusé de vol de données de sociétés américaines et d’entreprises dans la défense.

Les compagnies israéliennes et les agences gouvernementales, même celles impliquées dans plus haut travail de sécurité, ont prouvé être incroyablement vulnérables aux attaques pirates, par lesquelles, « des hackers cherchent ‘le maillon faible’, en correspondant par message avec une victime potentielle, utilisant menaces, récompenses, peur ou autre tactique psychologique destinée à faire cliquer la victime sur un lien ou à lui faire ouvrir un document qui installera un virus ou un cheval de Troie, leur donnant accès à ses données », a expliqué le Docteur Tal Pavel, expert en cyber-sécurité du Moyen-Orient.

En 2012, les pirates ont utilisé des techniques d’hameçonnage pour obtenir faire cliquer des employés de la police israélienne sur des liens contenus dans des emails qui mènent à des sites où les logiciels malveillants d’invasion de réseau connus comme Xtreme RAT ont été subrepticement installés sur les ordinateurs des utilisateurs. Selon Roni Bachar de la firme israélienne de sécurité Avnet, le logiciel malveillant a été délivré en échange d’un email contenant une archive jointe, envoyé depuis l’adresse email bennygantz59@gmail.com.

Gantz est le chef d’Etat-major de l’armée israélienne, et il est improbable qu’il utilise un service tel que Gmail pour communiquer avec les responsables Israéliens. Cela étant, de nombreuses personnes ont apparemment cliqué sur le fichier, libérant le virus dans le système informatique du département de la police, a expliqué Bachar. « Couper les ordinateurs du département d’Internet est une question complexe, et la police l’aurait fait uniquement si elle avait senti qu’il y avait un besoin impérieux de tout déconnecter ».

Parmi les mesures que la police aurait prises pour empêcher de futures attaques, celle d’interdire la connexion au système de tous les périphériques étrangers tels que les clés USB ou les CD. En conséquence de l’attaque, la police a été obligée de déconnecter les serveurs d’Internet pendant plus d’une semaine pour rechercher et éliminer le logiciel malveillant.

Le même logiciel a été utilisé avec succès, plus tôt cette année, pour envahir des sites du gouvernement – encore par le biais d’un message au contenu suspect, envoyé d’une adresse d’apparence suspecte, cette fois
« shabakreport@gmail.com », une adresse peu susceptible d’être utilisée des services de sécurité israéliens s’agissant de document officiel.

Cette attaque, qui aurait été conduite par des pirates Palestiniens, a endommagé le réseau d’ordinateurs appartenant à l’Administration civile de Judée-Samarie, l’agence gouvernementale qui traite de toutes les questions administratives dans la partie de la Cisjordanie sous contrôle autonome palestinien, comme de nombreux sites internet d’informations à Ramallah et à Gaza.

CyberESI n’a pas encore divulgué les détails de comment les pirates ont installé leurs logiciels malveillants sur les serveurs des entreprises, mais éviter les méthodes d’hameçonnage n’est pas si difficile a expliqué Aviv Raff, PDG de la compagnie israélienne de sécurité Seculert.

« Si cela ressemble à un rat et que cela sent comme le rat, cela pourrait bien être un rat » a dit Raff, avertissant que si le message semble
« drôle » ou que l’adresse de l’expéditeur ne semble pas sérieuse, ne pas cliquer sur la pièce jointe au message ou sur le lien.

« Cela a l’air simpliste, mais c’est réellement une solution » a-t-il ajouté. « Quand vous doutez, vous supprimez ».