L'ICANN piratée, des données personnelles compromises

L’ICANN piratée, des données personnelles compromises

Yes, I can

Avatar de l'auteur

Sébastien Gavois

Publié dansInternet

18/12/2014
20
L'ICANN piratée, des données personnelles compromises

L'ICANN, l'entité chargée d'attribuer des noms de domaine, vient d'annoncer avoir été victime d'une cyberattaque. Des mots de passe ont été « exfiltrés » via phishing, tandis que certaines données personnelles ont été compromises, notamment concernant le service centralisé de données de zone (CZDS).

L'ICANN, ou société pour l'attribution des noms de domaine et des numéros sur Internet, est une société civile américaine à but non lucratif. Sur son site, elle définit ses missions de la manière suivante : « responsable de la sécurité, la stabilité et la coordination mondiale du système d'identificateurs uniques de l'Internet ». Comme nous l'avions détaillé lors de notre compte rendu de sa 51e réunion, elle souhaite néanmoins s'émanciper des États-Unis afin de passer à une gestion plus internationale.

L'ICANN victime d'une attaque par phishing, des mots de passe dérobés

Elle vient cependant d'indiquer qu'elle avait ouvert une « enquête sur une récente intrusion dans ses systèmes ». Elle précise que : « nous croyons qu'une « attaque d'hameçonnage ciblé » a été lancée fin novembre 2014. Elle a concerné l'envoi de courriels prétendant venir de notre propre domaine aux membres de notre personnel. L'attaque a compromis les mots de passe de messagerie de plusieurs membres du personnel de l'ICANN ».

Pour rappel, le phishing (ou hameçonnage) consister à monter un faux site Internet en faisant croire qu'il s'agit d'une version officielle, le but étant notamment de récupérer des identifiants et des mots de passe d'utilisateurs pensant se connecter à un site de confiance.

L'attaque a visiblement été un succès puisqu'il est précisé que « début décembre 2014, nous avons découvert que les mots de passe exfiltrés avaient été utilisés pour accéder à d'autres systèmes de l'ICANN en plus de la messagerie ». Ils sont au nombre de deux : le service centralisé de données de zone (CZDS) ainsi que le Wiki de l'ICANN sur le GAC.

Des données personnelles compromises

Dans le premier cas, « l'attaquant a obtenu l'accès avec droits d'administrateur à tous les fichiers du CZDS. Cela inclut des copies des fichiers de zone du système, ainsi que des informations saisies par les utilisateurs tels que leur nom, leur adresse postale, leur adresse de courrier électronique, leur numéro de téléphone ou de fax, leur nom d'utilisateur et leur mot de passe ». Concernant ces derniers, l'ICANN précise qu'ils étaient stockés avec « hachage et salage » et qu'ils ne devraient donc pas être aisé de remonter jusqu'aux originaux. Néanmoins, ils ont été désactivés, « par précaution ».

Concernant la page Wiki dédiée au GAC, l'étendue des dégâts est bien moins importante : « la page d'index réservée aux membres et une seule page de profil d'utilisateur ont été consultées. Aucun autre contenu non public n'a été consulté ». La société civile d'attribution des noms de domaine précise enfin que deux autres systèmes ont été touchés, mais cela n'aurait « pas eu d'impact » : le blog de l'ICANN (blog.icann.org) ainsi que le portail d'information sur le WHOIS de l'ICANN(whois.icann.org). Quoi qu'il en soit, « les recherches menées à ce jour montrent qu'aucun autre système n'a été compromis et nous avons confirmé que cette attaque n'a pas d'impact sur les systèmes liés à l'IANA ».

Une sécurité renforcée, mais quid des utilisateurs ? 

L'ICANN rappelle qu'au début de l'année elle a renforcé la sécurité informatique de tous ses systèmes : « nous croyons que ces améliorations ont contribué à limiter l'accès non autorisé obtenu à partir de l'attaque. Depuis que l'attaque a été identifiée, nous avons mis en place des mesures de sécurité supplémentaires ». Néanmoins, le problème semble plus venir des utilisateurs qui se sont fait avoir par une attaque de phishing, que des systèmes informatiques en eux-mêmes. Il serait donc intéressant de voir quelles mesures ont été mises en place, si ce n'est une meilleure information auprès des utilisateurs, souvent le maillon faible d'un système.

« Nous mettons à disposition du public des informations sur cette attaque, non seulement pour honorer nos engagements en matière d'ouverture et de transparence, mais aussi parce que le partage d'informations relatives à la cybersécurité aide les parties concernées à évaluer les menaces qui pèsent sur leurs systèmes » précise enfin l'ICANN qui profite donc de sa cyberattaque pour faire une piqure de rappel sur la sécurité informatique.

20
Avatar de l'auteur

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Et bonne nuit les petits

00:04 Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

13:40 Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 40

Sommaire de l'article

Introduction

L'ICANN victime d'une attaque par phishing, des mots de passe dérobés

Des données personnelles compromises

Une sécurité renforcée, mais quid des utilisateurs ? 

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 40
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 23

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 41
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 21
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 8
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 25
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 105
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 7

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (20)


CUlater
Le 18/12/2014 à 08h31

Sans sensibilisation, la sécurité n’est rien. Pirelli.


FunnyD
Le 18/12/2014 à 08h35

Au moins font ils preuve de transparence.


Soriatane Abonné
Le 18/12/2014 à 08h35

Sauf erreur, c’est une obligation légale aux États-Unis.


Takaï
Le 18/12/2014 à 08h39


L’ICANN victime d’une attaque par phishing

Foutue interface chaise - clavier… <img data-src=" />


FunnyD
Le 18/12/2014 à 08h42

<img data-src=" /> Aprés, ce n’est pas parceque c’est obligatoire que tout le monde le fait, non? <img data-src=" />


DownThemAll
Le 18/12/2014 à 08h42

C’est moche pour une société qui se veut “responsable de la sécurité, la stabilité et la coordination mondiale du système d’identificateurs uniques de l’Internet “… si même ses propres employés se font avoir par du phishing&nbsp; <img data-src=" />


gastaman
Le 18/12/2014 à 08h43

Vest peut etre d ailleurs un des rare avantages du français, car dans ces cas de phishing l orthographe et la grammaire pêchent toujours un peu. Après malheureusement des progrès ont ete fait…


Pr. Thibault
Le 18/12/2014 à 08h58






gastaman a écrit :

Vest peut etre d ailleurs un des rare avantages du français, car dans ces cas de phishing l orthographe et la grammaire pêchent toujours un peu. Après malheureusement des progrès ont ete fait…


Encore faut-il que la victime sache écrire français, ce qui est le cas de moins en moins de français…&nbsp;



FunnyD
Le 18/12/2014 à 09h05






Pr. Thibault a écrit :

Encore faut-il que ke la victime sache écrire françssais, ce qui ki est le cas de moins en moins de françssais…


C’et pa fau <img data-src=" />



Thoscellen Abonné
Le 18/12/2014 à 09h14

Rhoo, ça se vois qu’il a utilisé l’application mobile de nextInpact, ‘faut savoir être indulgent d’temps en temps.


Constance Abonné
Le 18/12/2014 à 10h26






DownThemAll a écrit :

C’est moche pour une société qui se veut “responsable de la sécurité, la stabilité et la coordination mondiale du système d’identificateurs uniques de l’Internet “… si même ses propres employés se font avoir par du phishing&nbsp; <img data-src=" />


Je plussoie vivement… ça mérite du facepalm massif là ^^’



CryoGen Abonné
Le 18/12/2014 à 10h58

Le SPF, les signatures électroniques ? Non mais c’est pas la société artisanale du coin qui découvre l’internet quand même <img data-src=" />


RaoulC
Le 18/12/2014 à 11h37

Bah. Au moins cette fois on avait salt + hash.. Soyons optimistes.


Soriatane Abonné
Le 18/12/2014 à 14h48

Si tu ne déclares pas que les données de tes clients ont été volés, c’est délit.

Pour éviter de se mettre hors la loi, les entreprises US font preuve de transparence sur ce sujet.


tony_95
Le 18/12/2014 à 15h04

Donc si je résume, ils se sont fait pirater à cause d’un faux mail envoyé sous leur nom de domaine, et un employé de chez eux s’est rendu sur un faux site rentrer son compte root avec le mot de passe associé.

Respect et robustesse <img data-src=" />


FunnyD
Le 18/12/2014 à 20h29






Soriatane a écrit :

Si tu ne déclares pas que les données de tes clients ont été volés, c’est délit.

Pour éviter de se mettre hors la loi, les entreprises US font preuve de transparence sur ce sujet.


<img data-src=" />



Flykz
Le 18/12/2014 à 22h22

<img data-src=" />


aztazt
Le 18/12/2014 à 22h36






RaoulC a écrit :

Bah. Au moins cette fois on avait salt + hash.. Soyons optimistes.



Ouais mais si le salt est identique pour tout le monde, que c’est “123” et que le hash est MD5 ou SHA1 c’est quand même ballot. Faut voir comment tout cela a été implémenté… mais c’est vrai qu’il y a du mieux !&nbsp;



Ler van keeg
Le 19/12/2014 à 08h03

Tiens tiens…
Donc aux USA si une banque est touchée par une faille, disons qui toucherait SSH au pif, qui doit informer ses utilisateurs dans un court délai?


Soriatane Abonné
Le 20/12/2014 à 06h55

Je l’ignore je ne suis pas juriste.

Mais je crois que cette loi ne s’applique que si le malfrat a pu accéder aux donnés des clients. Bref, c’est pas le tout d’avoir une faille, il faut qu’elle soit exploité par des criminels.