Vous êtes un hacker russe et vous cherchez un moyen de cacher l’adresse de vos serveurs incognito ? Rendez-vous dans les commentaires du compte Instagram de Britney Spears, élu meilleure planque pour pirates informatiques de l’année 2017.

Dans un rapport publié mardi, des chercheurs qui travaillent pour l'entreprise à l'origine de l’antivirus Eset affirment avoir trouvé la combine d’un groupe de hackers russes portant le nom de Turla : ces derniers passeraient par le compte Instagram de Britney. Le groupe de malfaiteurs n'en est pas à sa première attaque : en 2014, il avait infecté les ordinateurs d’ambassades et de gouvernements européens – principalement de pays de l’ancien bloc soviétique –  à des fins d’espionnage.

En février dernier, Turla aurait exploité les commentaires du compte Instagram officiel de la chanteuse américaine pour dissimuler l’adresse du serveur de contrôle de l'un de leur virus (celui qui extrait les données volées des ordinateurs contaminés). Selon Arstechnica, la combine, plutôt astucieuse, consistait en une porte dérobée déguisée en extension Firefox et utilisait les commentaires des photos Instagram de Britney Spears pour enregistrer l'adresse du serveur en question.

Un commentaire déguisé

En clair, un utilisateur poste un commentaire, a priori anodin, qui contient en réalité un message caché. C’est ce commentaire déguisé qui donne accès à la précieuse URL. Explications en image :

Le commentaire de l’utilisateur Asmith2155 "#2hot make loved to her, uupss #Hot #X" a tout l’air d’un message de fan – un peu excité, on le reconnaît – comme les autres. Il contient pourtant l’URL d’un lien bit.ly qui renvoie vers l’adresse d'un serveur de contrôle du groupe de hackers. 

En regardant le code source du commentaire, les chercheurs d’Eset se sont rendus compte que chaque caractère clé était précédé de , la formule normalement utilisée pour séparer les emojis du texte : "smith2155< 200d >#2hot ma< 200d >ke lovei< 200d >d to < 200d >her, < 200d >uupss < 200d >#Hot < 200d >#X" Ainsi  "#2hot make loved to her, uupss #Hot #X" devient http://bit.ly/2kdhuHX.

"Les données fournies par bit.ly montrent que l’URL a reçu 17 visites en février, autour de la date à laquelle a été posté le commentaire", expliquent les chercheurs d’Eset. Le compte Instagram et le commentaire de asmith2155 ont disparu. Mais par curiosité, on est allé jeter un coup d’œil à l’adresse bit.ly.

Sans s’aventurer plus loin, parce que ça faisait vraiment très peur :

Si cette backdoor a été mise à jour, les chercheurs à l'origine de la faille n'excluent pas que d'autres comptes soit utilisés par les hackers, sur Instagram et ailleurs. 

En tout cas, on est contents d’avoir eu des nouvelles de Britney.

Quelque chose à ajouter ? Dites-le en commentaire.