Les hackers ne sont pas très différents de nous, assure une étude israélienne menée par une agence israélienne de cyber-sécurité, Imperva.

Alors que certains utilisateurs honnêtes s’empressent de répondre aux messages de phishing – les emails frauduleux destinés à voler des informations personnelles, de même, les hackers réagissent aux documents et aux fichiers dont les titres leurs promettent des informations importantes, telles que les détails de cartes de crédit ou des numéros de sécurité sociale.

Tout comme de nombreux utilisateurs ne prennent pas au sérieux la cyber-sécurité, les hackers n’accordent pas beaucoup d’importance au fait d’effacer leurs traces, et il devient ainsi possible de les repérer.

Et tout comme la plupart des utilisateurs sont trop occupés par le quotidien pour gérer les finesses de la cyber-sécurité, de même, les hackers sont dépassés par les opportunités de piratages qui s’offrent à eux, et ils n’ont ni le temps ni les ressources pour en profiter.

Ce sont les conclusions du rapport d’Imperva, « Beyond Takeover – Stories from a Hacked Account », dans lequel les chercheurs de l’agence ont cherché à pénétrer dans l’esprit des hackers en faisant un peu de « phishing » eux-mêmes.

Tout comme les hackers ont réussi à entrer dans les comptes de leurs victimes en balançant des e-mails avec des titres alléchants, tels que « La liaison secrète entre Trump et Hillary, en images », l’équipe d’Imperva, avec l’aide d’étudiants du Technion, l’Institut Technologique d’Israël, a créé des comptes « appâts ».

Ces faux comptes d’utilisateurs avaient un contenu riche, comme des comptes Gmail, Dropbox, et d’autres services en ligne. Les noms d’utilisateurs et les mots de passe étaient diffusés dans le dark web, dans l’espoir que les hackers mordraient à l’hameçon. Pendant des mois, les chercheurs d’Imperva ont traqué les activités de ceux qu’ils ont pêché afin de comprendre comme fonctionne l’esprit d’un hacker. Après avoir reçu près de 200 clics de la part d’hackers sur les faux comptes, l’équipe a commencé son analyse.

Mais tout comme les victimes ne protègent pas leurs comptes – en utilisant par exemple, des mots de passe faciles à deviner, comme « 123456 » ou « password », de nombreux hackers ne se donnent pas la peine de protéger leur propre identité. Les hackers pourraient prendre des mesures pour éviter de se faire repérer en restaurant un compte qu’ils ont épluché à son état précédent, en supprimant les alertes de connexions, en supprimant les e-mails que les utilisateurs n’ont pas envoyés, et marquant les messages lus comme non lus, et en modifiant l’historique des activités, explique le rapport.

« Nous avons été surpris de voir que seuls 17 % des hackers cherchent à dissimuler leurs traces. Et ceux qui le font ont été rares à utiliser des techniques de couverture », précise l’équipe d’Imperva.

Sans surprise, ajoute l’équipe de recherche, « les pirates informatiques cherchent en premier lieu les informations sensibles, notamment des mots de passe et des numéros de carte de crédit ».

Les faux comptes avaient des fichiers indiquant qu’ils pourraient contenir des données commerciales ou bancaires importantes, et ce sont ceux qui ont attiré en premier les hackers. Mais, contrairement aux attentes des chercheurs, les hackers n’ont pas abordé l’exploration des comptes de manière méthodique. Le timing de leur travail, le fait qu’il soient passés à côté de certains titres alléchants et qu’ils se soient penchés sur d’autres, cela « indique que les pirates accèdent au contenu manuellement, ne téléchargent pas et les examinent avec des outils automatiques », comme on aurait pu s’y attendre, indique le rapport.

La découverte, peut-être la plus importante de ce rapport est liée au manque d’automatisation. « Les pirates informatiques n’agissent pas rapidement », affirme l’équipe. « Plus de 50 % des comptes ont été consultés dans les 24 heures après avoir récupéré les identifiants. Le résultat, c’est qu’il existe une courte fenêtre, en cas de suspicion d’attaque, pour que le changement de mot de passe réduise de 56 % le risque de piratage ».

Cela signifie que si les victimes de piratage agissent suffisamment vite et changent leur mot de passe après qu’ils soupçonnent que leur compte a été piraté, ils pourraient déjouer l’attaque.

Si le mot de passe qu’ils ont récupéré sur le dark web ne fonctionne pas, il est assez probable que les hackers passeront à autre chose, indique le rapport.

« Moins de la moitié des identifiants divulgués sont utilisés par les hackers », explique l’équipe. « Cela peut s’expliquer par le fait que les pirates ont accès à tellement de données, qu’ils n’ont simplement pas le temps de toutes les exploiter. ». Si c’est le cas, il est probable que les hackers choisissent le chemin qui leur offre le moins de résistance, et n’attaquent que les victimes faciles, et qu’ils passent à leur cible suivante s’ils rencontrent de la résistance.

« En étudiant les cyber-attaquants, nous avons appris beaucoup de choses, et notamment que les hackers ne couvrent pas leurs traces, ce qui signifie qu’ils laissent des preuves derrière eux », a expliqué Itsik Mantin, chef de la recherche chez Imperva.

« De plus, si nous détectons rapidement une attaque, nous savons qu’une restauration immédiate, en changeant simplement de mot de passe, peut réduire significativement les chances de succès de l’attaque. Cette leçon prouve l’intérêt d’intégrer des menaces et un système de détection de violations qui peuvent rapidement détecter et modérer les risques. »