Le service de messagerie sécurisée Protonmail a été compromis… ou pas !

de | 19 novembre 2018

Un pirate ou un groupe de pirates informatiques, se présentant sous le nom de AmFearLiathMor, a/ont annoncé qu’ils ont réussi à exfiltrer un nombre considérable de données des utilisateurs du service de messagerie sécurisée Protonmail. De plus, il annonce que le contenu des e-mails compromis sera prochainement divulgué.

Pour rappel, Protonmail est un service qui chiffre automatiquement, lors de leur stockage, les emails de ses utilisateurs, ce qui confère un caractère hautement confidentiel du contenu des boîtes e-mails. Par ailleurs, l’ensemble des données est localisé en Suisse. Ceci ne permet pas à la justice d’un état membre de la Communauté Européenne ou à la justice américaine de demander l’accès aux e-mails des utilisateurs du service.

Dans un premier temps, AmFearLiathMor explique les raisons de la divulgation : il semble que Protonmail utilise une version modifiée, par rapport au code source ouvert sur Github, de ses services. La version modifiée permettrait à Protonmail de récupérer délibérément les mots de passe de ses utilisateurs et de déchirer leurs emails. AmFearLiathMor indique également que des emails déchiffrés ont été transférés vers des serveurs localisés aux Etat-Unis. Un transfert qui ne correspond aux engagements de Protonmail vis-à-vis de leurs utilisateurs.

Dans un second temps, AmFearLiathMor a engagé des actions afin de compromettre le service, en notamment, sollicitant d’autres groupes d’attaquants afin de leur fournir des 0-days qui ont permis de s’introduire dans les infrastructures de Protonmail et y installer un backdoor. Ce backdoor a permis de collecter les mots de passe des utilisateurs du service de messagerie sécurisée. Dans la foulée, AmFearLiathMor s’est connecté aux comptes dont les mots de passe ont été compromis afin de récupérer le contenu des échanges.

AmFearLiathMor demande à Protonmail de payer une rançon, dont le montant n’est pas précisé dans l’annonce. La date limite de paiement de la rançon est le 23 novembre 2018, 12h00 UTC (Soit 13h00, heure française). Après cette date, une partie des données seront dévoilée gratuitement aux médias et l’autre partie sera monnayée dans le darkweb.

Les données qui seront fournies gratuitement à la presse sont de deux types :

  1. Les échanges d’employés de services de sécurité qui travaillent pour des gouvernements. Des échanges “politiquement” sensibles qui adressent par exemple les modalités de détournement du traité de Genève.
  2. Les échanges entre pédophiles qui font partie de l’élite et de cercles influents.

L’ensemble des données collectées seront mises en vente dans le Darkweb.

AmFearLiathMor propose également la vente des 0-day utilisés pour la compromissions, ainsi que leurs services et leur réseau…

AmFearLiathMor précise que les utilisateurs qui ne se sont pas connectés à leur compte Protonmail, depuis plusieurs mois, ne sont pas concernés pas la fuite de données.

Protonmail a réfuté cette compromission…  une affaire à suivre et rendez-vous le 23 novembre 2018, 13h.

Le post initial de AmFearLiathMor a été supprimé de pastbin, https://pastebin.com/bwvqHhbA, il est disponible dans les archives http://archive.is/20M7z