OurMine : le mystérieux collectif de hackers termine l’année sur du Britney Spears
Le tableau de chasse d’OurMine s’est agrandi avec le Twitter de Sony Music, piraté ce lundi pour annoncer la mort de Britney Spears.
Des médias comme TechCrunch et BuzzFeed, des chefs d’entreprise tels que Marissa Mayer (Yahoo) et Travis Kalanick (Uber), des célébrités parmi lesquelles l’actrice Lisa Schwartz et la chanteuse Janet Jackson… Ils sont autant à figurer au tableau de chasse que le collectif OurMine affiche dans la rubrique « actualités » lancée en juin dernier sur son site Web.
De nombreuses zones d’ombres demeurent à propos de ce groupe de pirates qui se dit composé de quatre membres et se range dans la catégorie des « white hats », en d’autres termes des hackers sans mauvaises intentions.
« Nous ne nous occupons que de la sécurité de vos comptes et de votre réseau », affirme effectivement OurMine, qui propose des services allant du renforcement de la protection des messageries électroniques à la recherche de vulnérabilités sur des sites et applications.
Il n’en a pas toujours été ainsi. À l’origine, les assauts que perpétrait le groupe visaient à récupérer des données. On a notamment eu droit à des attaques par déni de service distribué (DDoS), entre autres contre des institutions financières et des acteurs de l’industrie du jeu vidéo.
L’approche a évolué ces derniers mois. OurMine se concentre désormais sur les comptes de réseaux sociaux, avec un message devenu traditionnel : « Hé, c’est OurMine, on teste simplement la sécurité de votre compte. Visitez https://ourmine.org pour l’améliorer ».
Sundar Pichai, CEO de Google, y a eu droit, tout comme Daniel Ek, cofondateur et principal dirigeant de Spotify. Jack Dorsey (Twitter) n’y a pas non plus échappé, au même titre que Mark Zuckerberg. Le patron de Facebook a vu ses comptes Twitter et Pinterest hackés au printemps*.
La liste des hackers
Certains experts ayant suivi l’épisode affirment qu’OurMine exploite simplement des bases de données d’identifiants et de mots de passe vendues au marché noir. Les intéressés réfutent cette théorie, assurant que c’est une histoire de failles, parfois sur des applications tierces connectées aux services ciblés.
En juin dernier, ils assuraient que leur activité « white hat » leur avait déjà permis de récolter 16 500 dollars, à raison de 10 dollars pour le scan d’un e-mail, 30 dollars pour un compte Twitter, Facebook ou Instagram, 1 000 dollars pour un site et 5 000 dollars pour le forfait « entreprise » incluant l’analyse des comptes de tous les collaborateurs.
La dernière victime en date dans les registres d’OurMine est l’université de Stanford. Sony Music Entertainment pourrait s’y ajouter : son Twitter @SonyMusicGlobal a fait l’objet d’un piratage ce lundi.
Il était environ 14 h à Paris quand le compte a annoncé le décès « par accident » de Britney Spears. Retweetée plusieurs milliers de fois, la nouvelle a rapidement été démentie auprès de CNN.
OurMine a eu accès à au moins un autre compte lié à Sony Music Entertainment : celui de Bob Dylan (@bobdylan). La filiale de Sony n’attribue pas ouvertement le hack à OurMine, mais désigne le collectif d’un hashtag qui laisse peu de doute.
* Deux comptes inactifs depuis des années au moment du piratage. Mark Zuckerberg est soupçonné de les laisser à l’abandon pour illustrer un désintérêt profond à l’égard de la concurrence dans l’univers des réseaux sociaux.