Espionnage chez Airbus ? ZATAZ vous montre trop de possibilités !
La Chine aurait espionné l’avionneur Airbus via des collaborateurs et des sous-traitants. ZATAZ vous montre que le mal est bien plus profond !
Vous avez très certainement lu dans la presse économique comme Capital, Challenge, … les révélations que s’apprête à faire le livre « France-Chine, les liaisons dangereuses » : la Chine aurait infiltré l’avionneur Airbus. Le bouquin, édité chez Stock, affiche les « hacks » subit par le groupe européen par ce qui semble être des « espions » à la solde du pays du soleil du milieu.
Airbus s’est séparé, par exemple, de salariés Toulousains et Britanniques. Ils sont soupçonnés de « collaboration » avec les services de renseignement chinois.
L’AFP explique que des sous-traitants d’Airbus qui ont servi de « Cheval de Troie ». « Quatre attaques informatiques majeures » souligne l’agence de presse. Dans les sous-traitants visés, le spécialiste français de l’ingénierie Expleo ou encore Rolls-Royce. « Des hackers chinois » sont soupçonnés.
ZATAZ va vous montrer comment, en UNE heure, le Service Veille ZATAZ a trouvé plus de 800 possibilités d’infiltrations possibles.
Qing bao 3.0
Ma recherche s’est contentée sur la première porte d’entrée d’une entreprise. Vous savez, celle entre la chaise et le clavier. Bilan, les infiltrations et surveillances personnalisées effectuées pour les abonnées du Service Veille ZATAZ (+ de 3 000 sites/forums/… pirates) m’ont donné de quoi faire concernant plusieurs centaines d’employés (contemporains ou passés) d’Airbus.
La recherche que je vais vous présenter n’a durée qu’UNE heure. Un délai que je me suis fixé, afin de découvrir si accéder à cette première porte d’entrée était simple.
Une collecte de 60 minutes qui laisse le temps d’imaginer ce que peut produire de l’OSINT, des informations collectées, par des services étatiques comme la Chine, la Russie, les Etats-Unis … forts de plusieurs centaines/milliers de personnels dédiés.
Ma recherche s’est basée sur les adresses mails des employés d’Airbus. Pour cela, durant UNE heure, j’ai analysé des bases de données accessibles dans les espaces pirates ouverts, semi-ouverts et privés surveillés par le SVZ.
En 3 600 secondes, je n’ai pu analyser que 94 542 bases de données cachées dans des espaces pirates. Bien entendu, je ne vous indiquerai pas la situation numérique de ces espaces. Ils sont sur le web, dans le darknet (Onion, I2P, …), dans des Discords et autres lieux de communication.
Cette recherche va aboutir à la collecte de 883 adresse différentes d’employés Airbus. Des adresses électroniques airbus.com, airbus.fr, airbus.de, military.airbus.com, airbus-pilots.com ou encore airbuskorea.com.
Des domaines qui donnent déjà des informations importantes pour un lancement de social Engineering (SE). Par exemples, airbus-pilots.com débarque dans l’espace de connexion « Airbus World ». Airbuskorea.com se connecte à Microsoft Online.
Social Engineering avant attaque !
Première impacte de cette collecte, des identités d’employés, anciens ou contemporains
La seconde impacte, les mots de passe. Sur les 883 comptes découverts, 876 comptes piratés sont diffusés avec le mot de passe attenant.
Sur ce nombre, 565 mots de passe sont en en clair. 64 password sont hashés en SHA-1. Le reste, hashé en MD5. Pour rappel, je n’ai étudié ce cas que sur un temps limité, 1 heure. Avec plus de temps, les comptes MD5 n’auraient pas tenus bien longtemps.
En analysant les mots de passe en question, je ne retrouve pas les « blablas » que l’on peut lire dans la presse. Pas de « Qwerty« , de « vedette » du moment ou de « 123456« . Si 70% de mots de passe en clair utilisent chiffres et lettres, la moyenne de ces mots de passe ne dépassent pas les 6 symboles.
Je vous passe les sésames reprenant le nom de l’entreprise « Airbus« . Énormément de prénoms aussi. Soit le prénom du propriétaire du compte, soit celui d’une autre personne. Il y a de forte chance que ce prénom correspond au conjoint/conjointe/enfant (parfait pour le SE) du propriétaire du mot de passe.
Quelques numéros de cartes bancaires (16 chiffres), ou encore des dates (naissances, de prise de fonction, …).
Pour rappel, un mot de passe permet aussi de retrouver son « créateur » dans d’autres lieux, via d’autres identités/mails. Surtout si ce mot de passe s’exploite partout, par feignantise !
Exemple. Le « prénom nom de famille » comme clé d’accès n’est vraiment pas une bonne idée !
D’où viennent les infos piratées ?
Ces données ne viennent pas directement des serveurs d’Airbus, mais des sites tiers piratés. Des sites, forums … utilisés par les employés. D’hameçonnages (phishing) aussi.
Des employés qui exploitent leur courriel professionnel pour s’inscrire sur Linkedin, Steam, Groupon, Dang Dang, Deezer, Spotify, … Sans parler de plateformes pornographiques !
Pour la petite histoire, certaines données ont été volées par des malveillants sur des sites d’écoles ou de commerces Chinois, dont le site de contrefaçon Fashion bags.
Intriguant, de nombreuses adresses web (inactives pour la plupart) affichées par certains espaces pirates privés. On retrouve airbus***.ru par exemple (*** chiffres des versions d’avions airbus). Ou encore airbusmilitaryna.com. Un url ouvert début 2011. Il affichait une page « Militaire » d’Airbus. 2014, il redirige les visiteurs vers l’adresse militaryaircraftna-airbusds.com. En 2017, nouvelle redirection, northamerica.airbus-group.com.
Parmi les autres adresses citées par les pirates croisés durant cette heure de recherche : aisc-airbus.com (l’ancien Airbus Staff Council). AISC affichait les noms des fournisseurs. Du pain béni pour un SE qui a pu permettre des attaques de sous-traitants !
Education !
Bref, l’éducation de cette interface située entre la chaise et le clavier a encore un long chemin devant elle. Ce n’est pas les sensibilisation de la Direction du renseignement et de la sécurité de la Défense (DRSD) qui me contrediront !
Comme l’écrivait un chinois du nom de Maître Sun, voilà plus de mille ans : « Vous n’ignorerez point les différentes routes qu’il faudra tenir pour arriver sûrement au terme que vous vous serez proposé« .
En mars 2018, ZATAZ vous révélait comment une fausse banque avait été cachée dans un espace Airbus. En 2016, comment un bug aurait pu permettre à un pirate (Chinois ou non), d’accéder à plus de 12 000 adresses électroniques de personnes inscrites dans une mailing list de l’avionneur.
Pendant ce temps, chez Thalès, on recherche le voleur de deux ordinateurs portables d’un ingénieur de la défense sous-marine, dans un hôtel de Maurepas.
C’est grave d’utiliser son adresse pro pour des fins personnelles.
Excellent article que je diffuse immédiatement à mes étudiants. Merci Monsieur Bancal !
Bonjour,
Merci ! Informer, sécuriser, agir !
@Nicolas Oui , c’est grave parce que mélanger activités perso et pro peut aider un pirate.
Dans le cas hypothétique où ton compte mail est piraté il aura des informations personnelle et professionnelle à ton sujet.
C’est pour ça qu’il faut utiliser à minima une adresse perso et une pro pour réduire la casse en cas de piratage.
Pour ceux travaillant dans plusieurs sociétés. Je leur conseille d’avoir au moins une adresse courriel pour chaque entreprise.
Par exemple l’administrateur de cinq entreprises doit avoir au moins six adresses [5 PRO + 1 PERSO].
Mais il peut faire mieux puisque il peut par exemple avoir deux adresses pour chaque entreprises [UNE POUR PARLER AVEC CEUX EXTÉRIEUR À LA SOCIÉTÉ ET UNE AUTRE POUR PARLER AUX EMPLOYÉS] ce qui ferait un total de 11 adresses [10 PRO + 1 PERSO].
Il peut aussi en avoir 3 pour chaque entreprise [UNE POUR LES FOURNISSEURS , UNE POUR LES CLIENTS , UNE AUTRE POUR LES EMPLOYÉS] soit un total de 16 adresses [15 PRO + 1 PERSO].
L’idéal est deux adresses courriels pour chaque contact [UNE POUR RECEVOIR CES MESSAGE ET UNE AUTRE EN ENVOYER] mais c’est infaisable pour la majorité d’entre-nous.
Pingback: ZATAZ Attaque informatique à l'encontre de la société TBS - ZATAZ
Pingback: ZATAZ Cyberattaque à l'encontre de M6 ! 3 759 possibilités découvertes ! - ZATAZ
Pingback: ZATAZ Le Service Veille ZATAZ evolue - ZATAZ