Depuis quelques semaines déjà, la rédaction de Cnis-Mag s’amusait de la soudaine augmentation de demande de « contacts » LinkedIn émis par une armada de chasseurs de têtes « sécurité ». De Chasseuses, devrait-on préciser, qui semblent mettre en avant plus leur plastique généreuse que leur intérêt pour l’usage d’Ida Pro. L’absence de véritables motifs dictant cet impérieux besoin de rencontre professionnelle et la confusion manifeste que ces demoiselles faisaient entre le métier de journaliste et celui, considérablement plus sérieux, de responsable SSI.
Mais ce qui pouvait passer pour une erreur d’aiguillage ne serait en fait que la partie visible d’une vaste campagne de profilage, pense Sean de F-Secure, dont les soupçons sont confirmés par Yonathan Klijnsma de Fox IT. « Ces personnes une fois intégrées dans le cercle des relations, explique Klijnsma, disparaissent rapidement. Leur profil est effacé des bases du réseaux social, et il faut parfois fouiller assez profondément pour retrouver leur activité dans l’historique des activités LinkedIn ».
Klijnsma fait également remarquer que les profils glanés par ces recruteurs sont très sélectifs. Certains s’intéressent aux spécialistes de la sécurité sans-fil, d’autres aux chefs de cellule sécurité, d’autres encore aux gourous de la mobilité… un travail parcellaire qui n’est pas sans rappeler l’organisation quasi militaire de certains scam nigérians.
Une autre étude, publiée par Trend Micro cette fois, constate également que le profilage de spécialistes SSI fait rage au moyen orient. Un groupe baptisé Rocket Kitten utilise des méthodes un peu plus agressives que des tentatives de contact LinkedIn, allant jusqu’à déployer des attaques en spear phishing, injection de malwares et autres procédés du genre. Les « chatons –fusées » ne ciblent pas seulement les spécialistes sécurité, mais également les secteurs des sciences politiques, de la diplomatie, des affaires étrangères, de la défense, du journalisme, des droits de l’homme…
L’espionnage industriel n’est donc pas leur but ultime. Ces agresseurs, précise l’analyse de Trend Micro, mettent en œuvre des outils de hacking parfois courants, parfois plus évolués, probablement achetés ou dérobés à d’autres black-hats. La teneur, le style et l’orthographe chancelante de leurs messages de phishing sont tels qu’il est assez simple de les détecter, et même d’établir, par recoupement, l’enchaînement de leurs activités de datamining. Mais ces faiblesses sont compensées par la persistance de l’opération qui, à force de constance, finit parfois par arracher quelques données précieuses.
Il y a donc comme un parfum d’amateurisme ou d’absence de maîtrise dans l’usage des outils, assez contradictoire avec l’apparent travail de profilage minutieux que semble poursuivre le groupe des minous strato-propulsés. Peut-être, estime l’étude, un groupe de cyber-pirates traditionnels qui a abandonné la collecte artisanale de numéros de comptes bancaires pour se lancer dans celle plus lucrative et moins dangereuse d’espion amateur et petites mains spécialisées dans la rédaction de fiches d’identité ? L’employeur le plus plausible serait alors un « quai d’Orsay » du Moyen Orient ou un service de renseignements d’Asie Mineur en mal de supplétifs.
Cette théorie serait d’ailleurs confirmée par le fait que les Rocket Kitten auraient déjà disparu une première fois de la scène black-hat avant de réapparaître et de changer d’orientation. Cela sent un peu l’amnistie conditionnelle, une sorte de contrat « liberté contre travail de bénédictin ».
Il est également amusant de constater que les « recruteuses » susmentionnées (et c’est probablement également le cas des Rocket Kitten) étaient parvenues à entrer dans les petites papiers LinkedIn de pas mal de spécialistes Français de la sécurité des S.I., si l’on en juge par le nombre de « contacts communs ».