L’ICANN piratée, des données personnelles compromises

L'ICANN, l'entité chargée d'attribuer des noms de domaine, vient d'annoncer avoir été victime d'une cyberattaque. Des mots de passe ont été « exfiltrés » via phishing, tandis que certaines données personnelles ont été compromises, notamment concernant le service centralisé de données de zone (CZDS).

L'ICANN, ou société pour l'attribution des noms de domaine et des numéros sur Internet, est une société civile américaine à but non lucratif. Sur son site, elle définit ses missions de la manière suivante : « responsable de la sécurité, la stabilité et la coordination mondiale du système d'identificateurs uniques de l'Internet ». Comme nous l'avions détaillé lors de notre compte rendu de sa 51e réunion, elle souhaite néanmoins s'émanciper des États-Unis afin de passer à une gestion plus internationale.

L'ICANN victime d'une attaque par phishing, des mots de passe dérobés

Elle vient cependant d'indiquer qu'elle avait ouvert une « enquête sur une récente intrusion dans ses systèmes ». Elle précise que : « nous croyons qu'une « attaque d'hameçonnage ciblé » a été lancée fin novembre 2014. Elle a concerné l'envoi de courriels prétendant venir de notre propre domaine aux membres de notre personnel. L'attaque a compromis les mots de passe de messagerie de plusieurs membres du personnel de l'ICANN ».

Pour rappel, le phishing (ou hameçonnage) consister à monter un faux site Internet en faisant croire qu'il s'agit d'une version officielle, le but étant notamment de récupérer des identifiants et des mots de passe d'utilisateurs pensant se connecter à un site de confiance.

L'attaque a visiblement été un succès puisqu'il est précisé que « début décembre 2014, nous avons découvert que les mots de passe exfiltrés avaient été utilisés pour accéder à d'autres systèmes de l'ICANN en plus de la messagerie ». Ils sont au nombre de deux : le service centralisé de données de zone (CZDS) ainsi que le Wiki de l'ICANN sur le GAC.

Des données personnelles compromises

Dans le premier cas, « l'attaquant a obtenu l'accès avec droits d'administrateur à tous les fichiers du CZDS. Cela inclut des copies des fichiers de zone du système, ainsi que des informations saisies par les utilisateurs tels que leur nom, leur adresse postale, leur adresse de courrier électronique, leur numéro de téléphone ou de fax, leur nom d'utilisateur et leur mot de passe ». Concernant ces derniers, l'ICANN précise qu'ils étaient stockés avec « hachage et salage » et qu'ils ne devraient donc pas être aisé de remonter jusqu'aux originaux. Néanmoins, ils ont été désactivés, « par précaution ».

Concernant la page Wiki dédiée au GAC, l'étendue des dégâts est bien moins importante : « la page d'index réservée aux membres et une seule page de profil d'utilisateur ont été consultées. Aucun autre contenu non public n'a été consulté ». La société civile d'attribution des noms de domaine précise enfin que deux autres systèmes ont été touchés, mais cela n'aurait « pas eu d'impact » : le blog de l'ICANN (blog.icann.org) ainsi que le portail d'information sur le WHOIS de l'ICANN(whois.icann.org). Quoi qu'il en soit, « les recherches menées à ce jour montrent qu'aucun autre système n'a été compromis et nous avons confirmé que cette attaque n'a pas d'impact sur les systèmes liés à l'IANA ».

Une sécurité renforcée, mais quid des utilisateurs ? 

L'ICANN rappelle qu'au début de l'année elle a renforcé la sécurité informatique de tous ses systèmes : « nous croyons que ces améliorations ont contribué à limiter l'accès non autorisé obtenu à partir de l'attaque. Depuis que l'attaque a été identifiée, nous avons mis en place des mesures de sécurité supplémentaires ». Néanmoins, le problème semble plus venir des utilisateurs qui se sont fait avoir par une attaque de phishing, que des systèmes informatiques en eux-mêmes. Il serait donc intéressant de voir quelles mesures ont été mises en place, si ce n'est une meilleure information auprès des utilisateurs, souvent le maillon faible d'un système.

« Nous mettons à disposition du public des informations sur cette attaque, non seulement pour honorer nos engagements en matière d'ouverture et de transparence, mais aussi parce que le partage d'informations relatives à la cybersécurité aide les parties concernées à évaluer les menaces qui pèsent sur leurs systèmes » précise enfin l'ICANN qui profite donc de sa cyberattaque pour faire une piqure de rappel sur la sécurité informatique.