Une vingtaine de dirigeants israéliens de crypto-monnaie ont été invités à payer de la monnaie numérique après que leurs téléphones aient été piratés et que leur identité ait été volée lors d'une cyberattaque unique et préoccupante qui a eu lieu début septembre.

L'attaque ratée, rapportée ici pour la première fois, a été menée par une équipe sophistiquée qui peut avoir été parrainée par l'État. Il impliquait également une grande entreprise de télécommunications, une entreprise de cyber-technologie appelée Pandora et peut-être même le Shin Bet israélien . Nous pouvons également révéler pour la première fois que le Mossad et l'Autorité nationale israélienne de cybersécurité ont été impliqués dans l'enquête. 

"Le 7 septembre, nous avons été approchés par un nouveau client, un directeur financier adjoint d'une entreprise qui a déclaré que son téléphone portable avait été piraté pendant la nuit et que son compte Telegram et peut-être d'autres comptes avaient été violés", explique Tzahi Ganot, co-fondateur de Pandora Security, société de cyber-conseil spécialisée dans la protection des cadres aux postes sensibles.

"Les pirates ont envoyé des messages aux contacts de cet homme à partir de son compte Telegram en son nom et leur ont demandé d'envoyer de la crypto - monnaie ", explique Ganot.

"Nous avons envoyé une offre de prix au dirigeant et j'ai essayé de comprendre avec mon partenaire comment son téléphone avait été piraté - que ce soit par une duplication de sa carte SIM ou en installant une application malveillante sur son téléphone."

Prendre en charge un compte Telegram ou Whatsapp est possible, mais n'est pas une tâche simple, a-t-il déclaré. "Nous avons envoyé un rapport de l'affaire à nos clients et à quelques groupes de devises numériques dont nous sommes membres."

«Je me suis endormi et le lendemain matin, j'ai été inondé de messages de personnes que je connais et de certains que je ne connais pas, tous avec des plaintes similaires de piratage."

«Au total, il y a eu environ 20 victimes, tous des PDG et vice-PDG qui dirigent des projets de monnaie numérique. Dans de nombreux cas, leurs applications Telegram avaient été piratées, mais dans d'autres, il s'agissait de leurs comptes de messagerie Gmail et Yahoo. "

«Dans tous les cas, le vol d'identité a utilisé le téléphone pour effectuer un processus de vérification des utilisateurs à l'aide de SMS - et dans tous les cas, les victimes étaient des clients du [géant israélien des télécommunications] Partner», dit-il.

De nombreux services numériques permettent la saisie ou le renouvellement des mots de passe via la vérification par SMS. Si le client a des difficultés à accéder au compte, il reçoit un code temporaire par SMS et l'utilise pour entrer dans le service et remplacer son mot de passe. Un message SMS est considéré comme privé et relativement sûr, dit-il.

Cependant, dans ce cas, il semble que les attaquants aient trouvé un moyen de détourner les messages SMS envoyés par Partner. «Voler les SMS d'un utilisateur n'est pas simple et n'est pas censé être accessible aux particuliers», explique Ganot, qui avant de fonder Pandora a travaillé quelques années chez NSO avec son partenaire.

«Théoriquement, c'est possible, mais le hacker doit être physiquement proche de sa cible, il est donc difficile de croire qu'il y a une personne qui se promène à Tel Aviv et se rapproche de tant de gens sans se faire prendre par le Shin Bet. De plus, il y a la partie étrange que toutes les victimes sont des clients de Partner », dit-il.

L'enquête de Pandora a révélé que l'incident était très probablement ce que l'on appelle une attaque d'usurpation par SMSC, explique Ganot. Dans ce type d'attaque, qui utilise la fonction d'itinérance d'un téléphone, les pirates ont besoin d'accéder à un réseau cellulaire dans le monde qui interagit avec les réseaux cellulaires israéliens, dit-il.

«C'est un assaut rare. Les pirates envoient un message d'un réseau cellulaire étranger à un réseau israélien, mettant à jour l'emplacement du client. Par exemple: «Le client vient d'atterrir à Tbilissi, il s'est inscrit sur notre réseau. Veuillez acheminer ses SMS via ce réseau. '

«C'est une procédure nécessaire pour les personnes entrant dans un pays étranger, dont les téléphones portables sont en mode« itinérance ».»

Quelqu'un, très probablement d'un État étranger, a réussi à pirater le réseau cellulaire d'un autre pays, et dans ce cas était probablement à l'origine de l'attaque en Israël, sinon d'autres dans d'autres pays.

«À partir du moment où les victimes ont été enregistrées sur le réseau étranger, elles ont cessé de recevoir des SMS. Dans certains cas, ils ont également perdu la réception ou leur téléphone a subi un redémarrage », explique Ganot, expliquant comment le pirate informatique a ainsi volé les SMS des clients Partner et ainsi piraté leurs comptes en ligne.

«Je connais environ 20 personnes qui ont été victimes de ce piratage, mais ce n'est que dans cette communauté de crypto-monnaie. Je n'ai aucun moyen de savoir si cela est arrivé à d'autres aussi, comme les dirigeants financiers ou les journalistes israéliens », dit Ganot.

Le Shin Bet classe les réseaux de télécommunications israéliens comme des infrastructures critiques et la sécurité de leurs données est supervisée par la National Cyber ​​Security Authority, qui obtient son mandat d'une organisation secrète de sécurité. 

Ganot dit que Partner a mal géré l'incident depuis le début. «Partner a répondu à nos questions en ces termes " Qu'est-ce que cela a à voir avec nous? " «Nous n'avons pas d'équipe de sécurité des données» et «nous avons un service commercial et  un service client».
"Un représentant de la société Partner  m'a même suggéré de rejoindre leur service antivirus pour cinq shekels par mois », dit-il.

'Shin Bet et Mossad impliqués'

Ganot a contacté le directeur de la sécurité des données de Partner, Yaniv Sabag. «Il a demandé les coordonnées et les numéros de téléphone des victimes, mais il a ensuite demandé à chacun d'entre eux d'approcher le service client séparément et d'ouvrir un litige, sinon il ne pourrait pas examiner leur cas.

Je peux vous dire qu'à ce moment, je n'ai pas pu «ouvrir un appel» dans Partner et je suis un de leurs clients commerciaux - ou, plus précisément, j'en étais un », dit Ganot.

"Enfin, Sabag a déclaré qu'ils vérifiaient l'incident - mais quelques jours plus tard, ils ont coupé toute communication, non seulement avec nous, mais aussi avec leurs clients piratés, et n'ont pas répondu à leurs questions."

À la suite de l'incident, Ganot a quitté Partner, tout comme la plupart des autres victimes. Certains d'entre eux ont porté plainte .

L'Autorité nationale de la cybersécurité a également été informée, mais conformément à sa tradition de silence, ne donnerait aucune réponse et ne ferait que laisser entendre qu'un cas similaire s'était produit plus tôt cette année dans un autre réseau. «Je sais qu'il y avait des gens du Shin Bet et du Mossad qui étaient impliqués dans cette affaire», dit Ganot.

Interrogé sur la raison pour laquelle le dernier piratage s'est produit uniquement dans les comptes des clients Partner Ganot a suggéré que d'autres réseaux pourraient avoir une protection par pare-feu ce que n'a pas Partner, alors que le système pare feu permet d'éviter que le système ne soit utilisé à mauvais escient. «Le pare feu identifie les anomalies dans le comportement de l'utilisateur et bloque une telle communication», a-t-il déclaré.

Malgré la brèche, le piratage a globalement échoué car aucune des victimes, pour autant que Ganot puisse le dire, n'est pas tombé dans le piège  et n'a transféré de l'argent aux pirates. L'identité originale des hackers reste inconnue.

«Ce ne peut pas être quelqu'un de Corée du Nord ou d'Iran, parce que leurs réseaux cellulaires ne sont pas connectés aux réseaux israéliens. Un incident similaire s'est produit en Russie en décembre. Il doit y avoir un certain environnement dans un pays pour permettre aux individus douteux d'accéder aux réseaux de télécommunications. Quoi qu'il en soit, il incombe à Partner d'enquêter sur l'affaire », dit-il.

Pensez-vous que cela s'est produit uniquement avec ce réseau?

«Il est possible que d'autres réseaux cellulaires aient de meilleures défenses. », dit Ganot.

En réponse au rapport, Partner a déclaré: «Il n'y a aucun lien entre cet incident et Partner."

Vous cherchez à communiquer efficacement sur vos services ?
Communiquez sur Alliancefr.com, le premier magazine juif sur le net 
Plus qu’un magazine, Alliance est une plateforme à destination de la communauté juive francophone concernée par Israël et le monde juif  
Son ADN  : offrir  une information dans tous les domaines sur Israël 
Contactez-nous pour découvrir la formule de communication qui vous convient.
tel : 01 70 00 75 75