Toute ta life sur Pastebin

Pastebin est un outil collaboratif initialement destiné aux développeurs. Il permet de copier du code ou n’importe quel type de texte afin qu’une ou plusieurs autres personnes puissent le modifier. Cet outil d’aspect très simple est pourtant très puissant et les usages que l’on peut en faire sont multiples. Les textes qu’un utilisateur copie colle sur Pastebin peuvent être privés comme publics et on peut également décider de la durée de vie de l’information en indiquant une date d’expiration. Du coup, on y trouve vraiment de tout, le meilleur comme le pire, le tout est évidemment indexable par les moteurs de recherche.

C’est bien du pire que nous allons parler ici avec un logiciel malveillant, un keylogger, qui fait en ce moment des ravages. Un keylogger a pour fonction d’intercepter tout ce qui est tapé sur un clavier. Ainsi, une fois installé, rien ne lui résiste, pas même un site bancaire chiffré en SSL, le mot de passe est intercepté, et la nouveauté maintenant … c’est que tout ce qui est intercepté arrive automatiquement sur Pastebin. Il est donc assez aisé de constater que des dizaines ou des centaines de milliers de personnes rien qu’en France se retrouvent avec toute leur vie sur Internet. Le site Sur La Toile avait abordé le problème début juin, et depuis la situation s’est considérablement empirée.

Si certaines données ne prêtent pas à de grosses conséquences comme ce faux mail d’avertissement de la HADOPI, on constate aussi des choses bien plus inquiétantes :

  • Des comptes mails de hauts fonctionnaires compromis,
  • des mots de passe FTP de sites gouvernementaux,
  • des bases de données complètes de mots de passe (des identifiants et des hashs de passwords) ;
  • des documents ou des contenus d’emails d’entreprises à caractère confidentiel,
  • Énormément de données bancaires…

À l’instar de certaines forums russes où l’on peut acheter des informations bancaires dérobées, Pastebin est devenu une véritable place de marché ou des personnes vendent ces données, affichant leurs taris et un moyen pour les contacter.

Le plus inquiétant est que certaines données que l’on trouve sur Pastebin, peuvent en de mauvaises mains, avoir des conséquences dramatiques, j’ai pu constater quelques cas où la sécurité physique de personnes peut être engagée. On trouve par exemple des accès à des systèmes SCADA compromis ou le nécessaire pour s’introduire dans un système d’information sensible comme des entreprises d’armement ou des système d’information de la sécurité civile.

Aujourd’hui un DSI se doit donc d’organiser sa veille pour ne pas voir son système d’information compromis, et Pastebin, comme toutes les applications en ligne de ce type, doivent être surveillée afin de pouvoir détecter le plus tôt possible un risque de compromission.

20 réponses sur “Toute ta life sur Pastebin”

  1. Heureux que tu dévoiles une face cachée malheureusement connue des initiés.
    Il est clair que tant que la mise en place de technique de mot de passe jetable de type OTP comme système d’authentification par défaut pour l’ensemble des SI ne devienne pas un standard, les vols des mdp seront légion.
    Malheureusement, tu le sais aussi bien que moi, la volonté de sécurisation des “responsables” est dérisoire, surtout quand ils sont conseillés par des gens dont cette fonction est un passe-temps comme un autre, et non un métier.

  2. “Aujourd’hui un DSI se doit donc d’organiser sa veille pour ne pas voir son système d’information compromis”

    Et là, c’est le drame. Si tu comptes le nombre d’entreprises par exemple en France qui ont encore comme “standard” le combo magique “WinXP + IE6”, tu te dis que PasteBin n’est qu’un juste retour des choses : à chercher la merde en terme de sécurité, on fini par la trouver, non ?

    1. Oui dans un sens je te donne raison, je suis horrifié de constater que certaines boites aux infras ultra sensibles soient victimes d’un pauvre keylogger pour Windows et quelque part, que ça se retrouve public sur Pastebin est anecdotique.

      1. Tu sais, il y a peu, tous les rafales français cloués au sol.

        Et bien c’était les serveurs fournissant les données de vol qui étaient down. Sous windows, infecté via un autorun sur une clef usb.

        Je n’arrive pas à plaindre les victimes des ces outils. Je n’irais pas jusqu’à en faire un moi même, mais quelque part, c’est mérité. Le message est passé des centaines de fois sous toutes les formes possibles – n’installez pas n’importe quoi, n’utilisez pas votre PC sur le compte admin, n’ouvrez pas les maisl louches, etc . . . – et pourtant, certain persistent dans la même attitude béate, attendant d’avoir de la merde jusque sous les narine pour se rendre compte que le niveau monte.

        Ça me fait penser à la migration vers IPv6. Il reste moins d’un an la. ALLO ?? Un an, c’est pas bien long. J’ai tellement envie de voir le merdier que ça va avoir, on aura même surement le droit à un petit passage au JT avec un mec qui n’entrave rien au problème nous expliquant que « c’est très grave pour les ordinateurs ma pauvre dame ». Alors qu’on devrait y être depuis des années.

        1. J’ai lu dernièrement qu’en fait chez Free, c’est déjà fait depuis longtemps.
          Plus qu’à tous migrer chez Free.

          1. Et c’est depuis ENCORE plus longtemps chez Nerim, et c’est depuis pas mal de temps chez FDN…
            (Et l’IPv6 à-la-sauce-Free, c’est pas la plus efficace)

  3. Effectivement c’est un véritable danger Pastebin si c’est mal utilisé, avec quelques recherches site:pastebin.com on trouve vraiment des choses sensibles…

    Il en est de même avec Yopmail d’ailleurs.

    Et tous ces services en général où l’information est personnelle mais pas privée.

    1. C’est clairement pas cool pour les particuliers, clairement, mais a ne prête pas aux mêmes conséquences que compromettre un système d’information SCADA

  4. Petite question :
    Peu on se “croire” à l’abri des keyloggers (et donc de se retrouver sir Pastebin) avec un outil du genre Keyscrambler ? Ou c’est illusoire ?

    (le mieux étant bien sur de ne PAS héberger de KL sur sa machine…)

    1. Le mieux est peut être aussi d’avoir un OS sur lequel on a un contrôle réel et d’avoir des habitudes de surf secure… mais ça c’est une autre histoire

      1. Oui, bon, le couplet sur Sinux…ça va… !;-)

        On y viens, on y viens… mais c’est pas simple de changer des habitudes.:)

        1. Il y aussi le fait que souvent, les responsables ne veulent pas se plier à certaines contraintes de sécurité. Et comme ses personnes sont les suppérieures de celles faisant la politique de sécurité, elle se trouvent avoir le dernier mot. Et aussi être la trou béant par lequel on entre dans la boite.

    1. C’est pour cela que les trojans, depuis un certain temps, ne se contentent plus d’un simple keylogger, mais font de l’API Hooking sur les API d’envoi de données dans les sockets.
      Comme ca, tu as beau ne pas saisir ton mot de passe via ton clavier, mais juste via un “hover” sur des boutons, mais la data (ton mot de passe) est quand même envoyée, et donc sniffée/interceptée

  5. Le problème est de taille, et pas récent. Pastebin pourrait tout simplement forcer l’inscription pour publier du contenu. Ca permettrait de supprimer du contenu abusif de façon rapide…

  6. On sait tous qu’on est pas a l’abri, mais la ca devient de pire en pire quand meme… Le vol en ligne reste dans les tetes comme un vol de “seconde zone…” donc pas de remords pour les voleurs …

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.