Comment @Yubico m'a évité d'être piraté par les services iraniens, un thread :
Le 14 septembre, je reçois sur WhatsApp une invitation à un sommet organisé à Abou Dhabi par un think tank libanais. Je suis surpris mais tout a l'air legit.
Le think tank existait et organisait ce genre d'événements avec des invités du monde entier. Le nom de mon interlocutrice correspondait à un LinkedIn à jour. Le nom de la directrice était également le bon d'après le site du think tank.
J'ai botté en touche en répondant que je n'étais pas sur place. Mon interlocutrice réplique que l'événement peut être suivi à distance mais qu'il faut s'enregistrer.
Contexte : on est mi-septembre, je viens de rentrer d'un reportage en Ukraine et l'Iran est en train de se soulever après la mort en garde à vue de #MahsaAmini. J'ai donc rapidement beaucoup de travail.
Je laisse traîner cette histoire de sommet, mais mon interlocutrice revient à la charge. Elle m'écrit à plusieurs reprises. La deadline approche, il faut vite s'enregistrer.
Je finis par cliquer sur le fameux lien. Je l'ouvre en navigation privée, de façon à n'avoir aucun compte connecté dessus. Là surprise, le site veut que je me connecte avec mon compte gmail.
Je referme aussitôt et oublie rapidement tout ça, désormais très occupé à couvrir l'impressionnant soulèvement en cours.
Quelques semaines plus tard, un chercheur d'Amnesty me demande si je n'ai pas reçu des messages bizarres récemment. Je repense tout de suite à cette étonnante invitation à Abou Dhabi.
Je transmets les informations que j'ai. Bingo, c'est bien ce qu'il pensait : une campagne de phishing ciblant des membres de la société civile (journalistes, militants pour les droits humains etc) qui ont en commun de travailler sur l'Iran.
Des recherches complémentaires permettront d'attribuer l'attaque au groupe Charming Kitten/APT42, que certains lient au corps des Gardiens de la révolution.
Le rapport de HRW, réalisé avec le concours d'Amnesty, est à lire ici : hrw.org/news/2022/12/0…
J'ignore pourquoi j'ai été ciblé, et pourquoi à ce moment-là (l'attaque commence avant la mort de Mahsa Amini, alors que je n'avais pas écrit depuis des mois sur l'Iran), mais j'ai toutes les raisons de penser que l'attaque n'a pas abouti.
Notamment parce que j'utilise la double authentification sur mon compte Gmail avec une Yubikey, une clef usb physique qu'il faut brancher sur un ordi ou connecter à son téléphone.
Or, si j'ai bien compris, la Yubikey aurait détecté que le site demandant l'accès à mon compte Gmail pour voler mon mot de passe n'était pas un service officiel mais une contrefaçon, et aurait bloqué l'authentification.
Conclusion 1 : équipez-vous en Yubikey, mais surtout, formez-vous aux rudiments de la sécurité informatique (par exemple avec @N0thing2Hide)
Conclusion 2 : le régime iranien ne recule devant rien. Mon cas est dérisoire, il permet juste d'entrevoir comment les services de sécurité se comportent avec la presse. Imaginez avec les journalistes iraniens•nes…
Il suffit de se souvenir du sort de celles qui ont enquêté sur la mort de Mahsa Amini: Niloofar Hamedi et Elahe Mohammadi ont été arrêtées et sont toujours détenues.
Comme elles, environ 70 reporters ont été privés de leur liberté en Iran depuis le 16 septembre.
(En fait j'avais mal compris, cf les réponses à ce tweet. Merci pour les précisions)
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Des explosions ont été signalées cette nuit sur les bases russes d'Engels-2 et de Ryazan, deux sites stratégiques situés à l'intérieur du pays, loin des frontières. Elles n'ont pas été revendiquées. Deux bombardiers Tu-95 auraient été détruits.
Quelques heures plus tard, la Russie a fait décoller 14 Tu-95. Pour les mettre à l'abri ? Pour lancer une riposte ? Toutes les régions ukrainiennes, à l'exception de la Crimée, sont passées en état d'alerte.
Des explosions sont rapportées dans les régions de Kharkiv, Donetsk, Dnipro, Zaporijia et Poltava. L'ambassade de France parle d'une "attaque aérienne d’ampleur en cours sur l'ensemble du territoire ukrainien".