HomeAboutSpeakingBlog
TELL ME
November 25, 2020

Fuite d’emails du directeur de campagne d’Hillary Clinton : ces erreurs qui ont mené à la divulgation

La campagne de la démocrate Hillary Clinton a été mise à mal par trois séries de divulgations d’emails sur Wikileaks, mises en lignes sur la période de mars à fin octobre 2016. Avec de fortes conséquences : le site de « whistleblowing » a influencé la campagne des présidentielles américaines.

Ces divulgations ont des origines distinctes et révèlent des erreurs de sécurité. La dernière divulgation concerne le compte email de John Podesta, Directeur de campagne.

Le phishing du compte gmail de John Podesta.

John Podesta, par New America Attribution 2.0 Generic (CC BY 2.0

Le 19 mars 2016 (un samedi midi), Charles Delavan, membre de l’équipe informatique de la campagne, alerte par email John Podesta et Milia Fisher, son assistante exécutive d’une tentative de fishing en cours.

Le conseil est simple : changer immédiatement le mot de passe. Mais les liens frauduleux sont conservés en bas du mail d’origine… D’après Motherboard qui a interviewé le cabinet SecureWorks, quelqu’un ayant connaissance du login aurait cliqué sur le lien du bas. La suite est simple : les attaquants ont obtenu le mot de passe de John Podesta… en le demandant tout simplement par une page web se présentant comme la page de login de Google.

Ce n’est pas nécessairement John Podesta qui a exposé le compte email en 2016. Eryn Sepp, l’assistante de John Podesta d’avril 2015 à juillet 2015, avait à cette période, également accès au compte email de John Podesta. En effet, elle lui a transmis un message, avec l’identité de M. Podesta comme émetteur.

Avec l’accès au compte de John Podesta, les attaquants ont pu notamment télécharger l’intégralité de ses correspondances email.

Les conseils de vigilance face au phishing n’ont pas été suivis

John Podesta est également Professeur invité à l’université de Georgetown. En septembre 2015, à ce titre, il avait reçu la conduite à tenir en cas de tentative de phishing. En juin de la même année, c’était l’Office of Personnel Management des USA qui l’alertait d’une attaque récente de ses bases et fournissait les conseils à suivre pour éviter de devenir victime de phishing.

Manifestement, ces conseils n’ont soit pas été pris en considération, soit pas compris.

Dans ses travaux, SecureWorks a fourni quelques conseils de bon sens :

  • Former les utilisateurs sur les risques de mails de phishing ciblés (spearphishing)
  • Etre très attentif face à des liens raccourcis, particulièrement lorsqu’ils sont présents dans des emails non sollicités.
  • Pour les clients utilisant gmail comme solution d’entreprise, former les utilisateurs sur le risque de fausses pages de login.

On peut y ajouter : en cas d’urgence, passer un appel téléphonique plutôt qu’envoyer un email !

Ces emails divulgués ont donné le prétexte à de nombreuses controverses, et peut-être même à l’échec d’Hillary Clinton.

Emission d’Abby Martin, TeleSur English. Abby Martin est youtubeuse, ex. journaliste sur RT, media pro russe. John Podesta est décrit comme faiseur de rois à Washington.

Le partage de mot de passe avec son assistante n’était pas la seule négligence de sécurité

En juillet 2015, John Podesta a égaré puis retrouvé son téléphone portable. S’il n’était pas chiffré, son téléphone a pu faire l’objet d’une copie de son contenu. Ou encore de modifications pour y implanter un dispositif d’écoute, logiciel ou matériel.

Related Posts

NEWSLETTER

Weekly Cyber Inspiration

Stay ahead of what cyber trends are coming next before it knocks on your office door.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.