Pastebin est un outil collaboratif initialement destiné aux développeurs. Il permet de copier du code ou n’importe quel type de texte afin qu’une ou plusieurs autres personnes puissent le modifier. Cet outil d’aspect très simple est pourtant très puissant et les usages que l’on peut en faire sont multiples. Les textes qu’un utilisateur copie colle sur Pastebin peuvent être privés comme publics et on peut également décider de la durée de vie de l’information en indiquant une date d’expiration. Du coup, on y trouve vraiment de tout, le meilleur comme le pire, le tout est évidemment indexable par les moteurs de recherche.
C’est bien du pire que nous allons parler ici avec un logiciel malveillant, un keylogger, qui fait en ce moment des ravages. Un keylogger a pour fonction d’intercepter tout ce qui est tapé sur un clavier. Ainsi, une fois installé, rien ne lui résiste, pas même un site bancaire chiffré en SSL, le mot de passe est intercepté, et la nouveauté maintenant … c’est que tout ce qui est intercepté arrive automatiquement sur Pastebin. Il est donc assez aisé de constater que des dizaines ou des centaines de milliers de personnes rien qu’en France se retrouvent avec toute leur vie sur Internet. Le site Sur La Toile avait abordé le problème début juin, et depuis la situation s’est considérablement empirée.
Si certaines données ne prêtent pas à de grosses conséquences comme ce faux mail d’avertissement de la HADOPI, on constate aussi des choses bien plus inquiétantes :
- Des comptes mails de hauts fonctionnaires compromis,
- des mots de passe FTP de sites gouvernementaux,
- des bases de données complètes de mots de passe (des identifiants et des hashs de passwords) ;
- des documents ou des contenus d’emails d’entreprises à caractère confidentiel,
- Énormément de données bancaires…
À l’instar de certaines forums russes où l’on peut acheter des informations bancaires dérobées, Pastebin est devenu une véritable place de marché ou des personnes vendent ces données, affichant leurs taris et un moyen pour les contacter.
Le plus inquiétant est que certaines données que l’on trouve sur Pastebin, peuvent en de mauvaises mains, avoir des conséquences dramatiques, j’ai pu constater quelques cas où la sécurité physique de personnes peut être engagée. On trouve par exemple des accès à des systèmes SCADA compromis ou le nécessaire pour s’introduire dans un système d’information sensible comme des entreprises d’armement ou des système d’information de la sécurité civile.
Aujourd’hui un DSI se doit donc d’organiser sa veille pour ne pas voir son système d’information compromis, et Pastebin, comme toutes les applications en ligne de ce type, doivent être surveillée afin de pouvoir détecter le plus tôt possible un risque de compromission.