mardi 7 avril 2020    || Inscription
BanniereNews
 
 

Dans la fraude gigantesque qui a affecté plus de 330 000 contribuables américains et a permis aux cybercriminels de récupérer un minimum de 50 millions de dollars, on en apprend un peu plus sur les méthodes des criminels et sur l’incurie du trésor américain.

L’article a été publié par le site Quartz et il est accessible à cette adresse (http://qz.com/445233/inside-the-irss-massive-data-breach/). Dans ce long document, l’une des victimes qui est également expert en sécurité informatique raconte comment la fraude s’est déroulée dans son cas et également comment l’IRS (Internal Revenue Service) s’est comportée de manière extrêmement laxiste à différents niveaux.

L'IRS fait le mort

Après s’être rendu compte qu’il venait de se faire pirater son compte, Michael Kasper a pris contact avec les services pour les informer de sa découverte. Comme il l’expliquera lors de son audition par une Commission sénatoriale, les employés de l’IRS ont effectivement reconnu le caractère frauduleux puisqu’une demande de remboursement a effectivement envoyée sur un compte n’appartenant pas à M. Kasper le jour de son appel. Toutefois, ce dernier n’a pas été en mesure de lui donner de plus amples informations en vertu de lois sur la vie privée, que l’on soit victime ou pas. Il a demandé à utilliser le service « Get Transcript », celui-là même utilisé par les hackers pour récupérer les informations mais, dans son cas, il a été incapable de se connecter pour les mêmes raisons. Toutefois, il a pu récupérer la copie papier de la déclaration frauduleuse qui lui a ensuite permis de voir comment les hackers avaient procédé.

L'expert mène l'enquête et l'IRS s'en fiche

Comme indiqué plus haut, les pirates ont utilisé le service Get Transcript pour se procurer les déclarations, les modifier puis faire procéder à des opérations de remboursement sur des comptes qu’ils ont ouverts. L’article montre que dans le cas de M. Kasper, l’argent a transité par la Pennsylvanie avant de repartir au Nigéria. Le plus croustillant – et aussi le plus inquiétant – est que l’IRS n’a absolument pas été intéressée par les découvertes de M. Kasper, alors qu’il avait mis à jour les comptes bancaires et l’identité de complices chargés de procéder aux opérations de virements vers le Nigeria.

En s'appuyant sur un précédent piratage

L’aspect le plus intéressant de cet article est la description des méthodes employées par les pirates pour se procurer les informations à exploiter dans la Knowledge Base Authentification (KBA). La première conclusion est que le piratage de l’IRS fait suite à un précédent piratage (Anthem et/ou Premera Blue Cross) ayant permis de récupérer des milliers d’informations utilisables pour se connecter à la base de l’IRS. Ensuite, les pirates ont soit procédé manuellement (ce qui paraît peu probable compte tenu du nombre) soit procéder au hasard et récupéré de fait les 330 000 adresses supposées. En effet, l’IRS a précisé que 280 000 adresses supplémentaires avaient tenté d’être compromises mais n’avaient pas passé les tests finaux de vérification.

50 millions ou plusieurs milliards ?

Finalement, l’IRS reconnaît déjà 50 millions de dollars collectés par les criminels et qui seront remboursés aux victimes. Cependant, certains pensent que ce montant pourrait être beaucoup plus élevé. Selon un rapport publié par le GAO en janvier, l’IRS aurait empêché 24,4 milliards de dollars de fraudes en 2013 mais avait tout de même perdu près de 6 milliards en fraudes diverses et variées. Si l’on ajoute le côté antique de certaines applications, lesquelles ont plus de 50 années d’existence et plus personne pour les maintenir, on se dit que ce montant de 50 millions est très loin de la réalité.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI