La fameuse bibliothèque numérique qui archive le web a de nouveau été ciblée. Cette fois-ci, les pirates ont pu attaquer sa plateforme de support par e-mail Zendesk.

La bibliothèque numérique Internet Archive, projet à but non lucratif, subit des attaques sur tous les fronts. Après avoir perdu son procès contre les éditeurs de livres, elle est depuis plus d'une semaine en situation dégradée de façon intermittente depuis un piratage et une attaque DDoS.

La plateforme Zendesk d'Internet Archive touchée

Et une nouvelle brèche est apparue le week-end dernier. En effet, de nombreux utilisateurs de la plateforme ont informé Bleeping Computer qu'ils recevaient des réponses à d'anciennes demandes de suppression adressées à Internet Archive, les prévenant que l'organisation n'avait pas modifié les jetons d'authentification associes à ses API, alors même qu'elle savait qu'ils avaient été exposés.

Le message explique :

« Il est décourageant de voir que même après avoir été informée de la violation il y a deux semaines, IA n'a toujours pas fait preuve de diligence raisonnable pour faire tourner de nombreuses clés API qui ont été exposées dans leurs secrets gitlab.

Comme le montre ce message, cela inclut un jeton Zendesk avec des permissions pour accéder à plus de 8000 tickets de support envoyés à [email protected] depuis 2018.

Que vous essayiez de poser une question générale ou que vous demandiez la suppression de votre site de la Wayback machine, vos données sont maintenant entre les mains d'un type quelconque. Si ce n'est pas moi, ce sera quelqu'un d'autre ».

Des jetons accessibles depuis 2 ans

Bleeping Computer a pu vérifier que l'email était bien envoyé par un serveur Zendesk. Comme le souligne un lecteur du média, les échanges entre les services d'Internet Archive et ses utilisateurs peuvent comporter des données personnelles sensibles. En effet, la bibliothèque demande la copie d'une pièce d'identité lorsqu'un utilisateur fait une demande de suppression d'une page dans la Wayback Machine pour faire jouer son droit à l'oubli.

Le média explique avoir pourtant informé plusieurs fois Internet Archive que son code source avait été récupéré sur GitLab via un jeton d'authentification qui était accessible depuis « au moins deux ans ».

En contact avec l'auteur de l'attaque, Bleeping Computer explique que la configuration d'un des serveurs de développement d'Internet Archive lui a laissé la possibilité de récupérer le jeton d'authentification qui lui a permis de télécharger le code source d'Internet Archive.

Il aurait aussi eu accès à l'entièreté de la base de données utilisateurs de l'organisation et à un ensemble de données de 7 To sans pour autant accepter de donner des preuves. La bibliothèque stockant un important nombre de contenus textes, audio et vidéos déjà accessibles publiquement, cet ensemble de données peut, pour autant, ne pas être spécifiquement représentatif de la faille.

Dans un billet de blog publié ce lundi 21 octobre, Internet Archive, qui ne répond pas aux médias, explique succinctement que « les pirates ont divulgué les adresses emails archive.org et les mots de passe chiffrés à un site web de transparence, et ont également envoyé des emails à des utilisateurs en exploitant un système d'assistance tiers ».

L'organisation ajoute que « la sécurité et l'intégrité des données et des utilisateurs d'Internet Archive restent nos priorités absolues. Alors que l'incident de sécurité est analysé et maîtrisé par notre équipe, nous relançons les services au fur et à mesure que les défenses sont renforcées. Ces efforts se concentrent sur le renforcement des systèmes de pare-feu et sur la protection des entrepôts de données ».

L'attaque a eu lieu seulement parce qu'une brèche était ouverte

Concernant les auteurs de l'attaque, le fondateur d'Internet Archive, Brewster Kahle, répond au Washington Post qu'il ne connait ni leur identité, ni leurs motivations. Si certains l'ont lié à la revendication du DDoS par un compte X nommé SN_BlackMeta, interrogé par Bleeping Computer, l'auteur s'en défend.

Quant à la raison, Brewster Kahle demande « Why kick the cat? », une expression anglophone pour marquer une attaque gratuite. Pour Bleeping Computer, la raison est simple et elle est souvent celle à l'origine d'une cyberattaque : « Internet Archive n'a pas été attaquée pour des raisons politiques ou financières, mais simplement parce que l'auteur le pouvait ».