Sécurité

Comment l’armée électronique syrienne a piraté le New York Times et Twitter

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Hier, un groupe de pirates – très probablement l’Armée électronique syrienne (SEA) – a réussi à rediriger les sites Web du New York Times, Twitter et Huffington Post vers des sites Web alternatifs et dégradés. Ces sites Web ont été indisponibles pendant des heures et, dans certains cas, le sont encore plus de 24 heures plus tard. Comment un seul groupe de hackers a-t-il réussi à tromper des dizaines d’administrateurs réseau et de spécialistes de la sécurité, et à faire tourner des cercles autour de trois des plus grandes propriétés Web ? La réponse simple est que la sécurisation des sites Web est extrêmement difficile, et presque aucune préparation ne peut protéger un site Web contre une attaque bien organisée. Plongeons-nous dans les détails de l’attaque – et discutons de la façon dont le NYT, Twitter et HuffPo auraient pu mieux se protéger.

Un peu d’histoire

Comme vous le savez probablement, et sans entrer dans les complexités inutiles du NAT et des hôtes virtuels, chaque appareil connecté à Internet possède une adresse IP. À l’époque de la création de l’ARPAnet, chaque service était accessible directement via une adresse IP. Les adresses numériques non mémorables ne sont évidemment pas idéales, cependant, et donc les gens de l’Institut de recherche de Stanford – l’un des les premières et les plus importantes entités du premier ARPAnet – A créé un Hosts.txt fichier qui mappait des noms mémorables sur des adresses numériques. Avec le fichier Hosts en place, vous pouviez vous connecter aux services par nom plutôt que par numéro – mais, en arrière-plan, ce nom était simplement recherché dans le fichier Hosts et traduit en l’adresse IP requise.

Le fichier hosts de Windows 8

Le fichier Hosts vit encore aujourd’hui – voici à quoi il ressemble dans Windows 8

Au fur et à mesure que l’ARPAnet grandissait, il devenait difficile de mettre à jour et de distribuer le fichier Hosts entre chacun des liens ARPAnet – et c’est ainsi que le système de noms de domaine (DNS) est né. Le DNS est essentiellement un moyen (quelque peu) sécurisé et décentralisé de distribuer ces fichiers Hosts aux serveurs DNS du monde entier. Aujourd’hui, lorsque vous tapez une adresse de site Web dans votre navigateur, votre navigateur demande rapidement et discrètement l’adresse IP à un serveur DNS à proximité.

Psssssst :  Une opération policière mondiale ferme deux marchés de la drogue Darknet

La faiblesse intrinsèque du web

Le DNS a une fonctionnalité clé qui a permis au SEA de prendre le contrôle des trois domaines, et permettra de mener ce même type d’attaque à l’avenir : la délégation de confiance. Fondamentalement, le DNS d’aujourd’hui est une hiérarchie de serveurs de noms racine, de serveurs de noms faisant autorité et de serveurs DNS récursifs. Les serveurs racine sont principalement exploités par des vétérans de l’Internet, tels que Verisign, RIPE et ICANN, et sont principalement chargés de stocker une liste de serveurs de noms faisant autorité. Les serveurs de noms faisant autorité sont des bases de données qu’un domaine (par exemple, extremetech.com) a désignées comme source fiable de la traduction du nom en adresse IP. Quelle que soit l’adresse IP stockée par le serveur de noms faisant autorité, c’est l’adresse IP que votre navigateur reçoit en fin de compte. Les serveurs DNS récursifs, qui sont généralement exploités par des FAI et des sociétés comme OpenDNS et Google, effectuent la tâche d’aller au serveur racine pour demander un serveur de noms faisant autorité, puis d’aller au serveur de noms faisant autorité pour demander l’adresse IP.

Fonctionnement du serveur DNS récursif

Généralement, en tant qu’internaute, votre interaction avec le DNS consistera à accéder aux serveurs DNS récursifs des centaines de fois par jour. Si vous êtes propriétaire d’un domaine, lorsque vous mettez à jour l’adresse IP de votre domaine ou d’autres enregistrements DNS, vous jouez avec le serveur de noms faisant autorité. Vous n’interagirez jamais vraiment directement avec les serveurs racine.

Maintenant, le problème est que les serveurs racine et les serveurs DNS récursifs font entièrement confiance à un serveur de noms faisant autorité (d’où leur nom). Si quelqu’un modifie un enregistrement de serveur de noms faisant autorité, il est automatiquement propagé à chaque internaute, généralement en quelques minutes ou quelques heures (selon la durée de vie du domaine). Si vous pouvez accéder au serveur de noms faisant autorité, vous pouvez rediriger un nom de domaine vers une autre adresse IP – et c’est exactement ce qui est arrivé au New York Times, Twitter et Huffington Post.

Psssssst :  Google déclare que la détection des yeux viendra au déverrouillage du visage du Pixel 4

Étonnamment simple

L'armée électronique syrienne pirate TwitterLes trois noms de domaine des trois sites Web en question sont gérés par Melbourne IT, un registraire de domaine. Si le NYT veut changer l’adresse IP de son site Web, il se connecte à son panneau de contrôle informatique de Melbourne et envoie dûment de nouveaux enregistrements au serveur de noms faisant autorité. Malheureusement, si vous avez le bon nom et mot de passe, n’importe qui peut se connecter à ce panneau de contrôle et modifier ces enregistrements DNS – et c’est exactement ce qui s’est passé.

Melbourne IT a envoyé un e-mail à tous ses clients, les avertissant qu’un compte revendeur avait été compromis. Il n’a pas identifié quel revendeur, mais il semble que Twitter, NYT et HuffPo ont tous acheté leurs domaines via le même revendeur. Nous ne savons pas comment la SEA a obtenu les coordonnées du revendeur, mais le spear phishing (hameçonnage ciblant directement le revendeur) est la méthode la plus probable. Avec les détails du compte en main, la SEA s’est simplement connectée à Melbourne IT et a mis à jour les enregistrements DNS pour pointer vers son propre serveur – voilà, trois sites Web dégradés.

Résoudre le problème est tout aussi simple – il suffit de mettre à jour à nouveau les enregistrements du serveur de noms faisant autorité – mais en raison de la mise en cache, certains serveurs DNS récursifs peuvent prendre 24 à 48 heures pour restaurer les enregistrements corrects. Si vous rencontrez toujours des problèmes pour accéder au site Web du NYT, c’est parce que votre serveur DNS récursif (généralement fourni par votre FAI) n’a pas encore mis à jour son cache.

Psssssst :  Microsoft repère un rançongiciel Android qui détourne votre bouton d'accueil

Une solution facile

Comme vous pouvez l’imaginer, il s’agit d’une faille assez bien connue du DNS – c’est pourquoi le système permet le verrouillage du registre. Si le bureau d’enregistrement le souhaite, il peut verrouiller le domaine, de sorte que personne – y compris le propriétaire ou un pirate informatique – ne puisse modifier, déplacer ou supprimer des enregistrements DNS. Il s’avère que twitter.com était verrouillé, c’est pourquoi la SEA n’a pas pu défigurer la page principale de Twitter – nytimes.com, en revanche, n’était pas verrouillé. Que l’équipe technique du NYT ait gardé le domaine déverrouillé pour une raison spécifique (peut-être qu’ils mettaient à jour certains enregistrements), ou s’il s’agissait simplement d’une erreur, nous ne le savons pas. Il y a des raisons de ne pas verrouiller un domaine, mais dans le cas de domaines de haut niveau, ces raisons sont assez rares.

L’ironie finale avec le verrouillage de domaine, bien sûr, est que la plupart des bureaux d’enregistrement vous permettent de déverrouiller votre domaine via un panneau de contrôle en ligne – donc si un pirate informatique obtient votre nom et votre mot de passe, le verrouillage ne causera qu’un léger retard. Idéalement, les sites Web de haut niveau devraient être gérés par des bureaux d’enregistrement qui nécessitent des étapes du monde réel pour déverrouiller un domaine – mais même dans ce cas, l’ingénierie sociale pourrait toujours être utilisée pour déverrouiller le domaine.

Maintenant lis: Comment surfer en toute sécurité : de LastPass aux chapeaux en aluminium, et tout le reste

Bouton retour en haut de la page