Le New York Times et Twitter victimes hier soir d’un détournement DNS
Les conséquences auraient pu être plus graves
Le 28 août 2013 à 09h50
5 min
Logiciel
Logiciel
Alors que les États-Unis réfléchissent à une action militaire en Syrie, contre le régime de Bachar el-Assad, un groupe de hackers s’en est pris à plusieurs entreprises américaines, via leurs sites web. La technique utilisée n’a rien d’original : un détournement de DNS, mais suffisant pour que les sites soient inaccessibles pendant plusieurs heures. Si tout semble rentré dans l’ordre actuellement, les conséquences auraient pu être bien pires.
Crédits image : Olivier Laurelli
Plusieurs sites victimes d'un détournement d'adresses
Le DNS, pour Domain Name System, est une infrastructure utilisée quotidiennement par des centaines de millions d’internautes. Pour rappel, chaque site est identifié par une ou plusieurs adresses IP. Bien que ces dernières puissent être exploitées telles quelles pour y accéder, il faudrait aux utilisateurs retenir de trop nombreux chiffres. Le DNS permet d’associer à ces adresses des expressions écrites, les fameux noms de domaine, beaucoup plus simple à écrire.
C’était justement le DNS qui était visé hier quand plusieurs sites américains ont commencé à devenir inaccessibles en fin d’après-midi. Ainsi, le New York Times, le site de Twitter ou encore le domaine anglais du Huffington Post ne pouvaient plus être joints. Pourquoi ? Parce qu’ils étaient la cible d’une attaque dont l’objectif était le détournement du DNS, autrement dit l’action de faire pointer une adresse classique vers une autre IP.
Une faille de sécurité proche d'un registrar
Concernant le New York Times, les ennuis ont commencé peu après 16h00, soit 22h00 heure française. À 16h20, le directeur du système d’informations, Marc Frons, publie un communiqué aux employés pour leur demander la plus extrême précaution dans les communications. Le nom de domaine du journal ayant été détourné, il était en effet possible qu’une partie des emails soit détournée. Or, le New York Times traite quotidiennement des emails à caractère sensible.
Avec le New York Times et Twitter, d’autres sites sont touchés, notamment la version anglaise du Huffington Post, ou encore twimg.com, qui appartient à Twitter. Tous ces sites ont en point commun leur registrar : Melbourne IT. Le fournisseur a d’ailleurs confirmé à l’Australian Financial Review que tout était parti d’une faille de sécurité chez l’un de ses revendeurs. Cette brèche a permis à des attaquants de détourner les adresses classiques vers d’autres IP, via des identifiants qui permettaient l’accès aux serveurs de configuration.
Une attaque revendiquée par la Syrian Electronic Army
Un peu plus tard dans la soirée, les premiers soupçons d’attaque externe sont arrivés. Peu après, et pendant un temps limité, la page d’accueil du New York Times était défacée. Rapidement, l’auteur des attaques apparaît : la SEA, pour Syrian Electronic Army, un groupe d’hacktivistes s’en prenant aux menaces contre le pouvoir syrien. Cette armée électronique ne tarde d’ailleurs pas à revendiquer directement l’attaque, en commençant par le site de Twitter, et ce via… un tweet :
Pourtant, pendant plusieurs heures, une partie des utilisateurs n’a rien vu, grâce au phénomène de propagation des DNS. La relation existant en effet entre l’URL et l’adresse IP doit être répercutée à travers les serveurs DNS, cette opération n’étant pas immédiate. Une barrière qui a d’ailleurs joué un rôle dans l’autre sens puisqu’une fois rétablis, les bons DNS ont dû être diffusés une nouvelle fois, prolongeant alors l’attente pour une autre partie des internautes.
En outre, tous les services DNS n’étaient pas nécessairement impactés de la même manière. David Ulevitch, PDG d’OpenDNS, indiquait ainsi sur le blog de l’entreprise que l’adresse utilisée par la SEA était connue du service. De fait, quand le changement de redirection s’est présenté, OpenDNS l’a rejeté.
Les conséquences auraient pu être plus importantes
En outre, même si la SEA a gagné en visibilité avec une action de « masse », le détournement DNS n’est pas aussi problématique qu’un piratage du site lui-même. Le détournement a essentiellement donné lieu à une coupure d’accès car certaines opérations n’ont visiblement pas fonctionné. Il n’était donc pas question d’aller voler des données stockées dans une infrastructure. Pourtant, comme l’indiquant Marc Frons du New York Times, des emails auraient pu être détournés. Pour Ullevitch, le potentiel pour Twitter était plus important car du code JavaScript lié est présent sur de très nombreux sites web.
Pour l’heure, tout est rentré dans l’ordre. Un communiqué de Melbourne IT indique notamment que deux actions principales ont été faites : faire revenir les valeurs DNS des sites affectées à leur état initial, et bloquer les identifiants du revendeur piraté. Le fournisseur indique qu’une enquête est toujours en cours et que les informations enregistrées ont été mises de côté pour une analyse plus complète.
Le New York Times et Twitter victimes hier soir d’un détournement DNS
-
Plusieurs sites victimes d'un détournement d'adresses
-
Une faille de sécurité proche d'un registrar
-
Une attaque revendiquée par la Syrian Electronic Army
-
Les conséquences auraient pu être plus importantes
Commentaires (35)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/08/2013 à 11h59
Le 28/08/2013 à 12h02
Le 28/08/2013 à 12h05
Une attaque à leur niveau quoi. Une attaque de merde.
Ils n’ont pas les compétences nécessaires pour faire une véritable attaque informatique digne de ce nom " />
Le 28/08/2013 à 12h08
Ah bah en fait en faisant une petite recherche, @bortzmeyer y avait répondu hier et il était tout aussi effrayé que moi, me voilà rassuré :)
=> Twitter
CQFD
Le 28/08/2013 à 12h14
Le 28/08/2013 à 12h21
Le 28/08/2013 à 12h21
Le 28/08/2013 à 12h23
Le 28/08/2013 à 12h26
Le 28/08/2013 à 12h30
Le 28/08/2013 à 12h54
Le 28/08/2013 à 12h56
Dommage d’avoir fait si peut alors qu’il pouvait certainement faire beaucoup, notamment récupération d’identifiant via une copie du site original.
Pour les emails, qu’est-ce qui fait penser qu’ils ont pas tenté une récupération ? Pas changement du champs MX ?
Le 28/08/2013 à 13h28
Le 28/08/2013 à 13h45
Le 28/08/2013 à 13h45
Le 28/08/2013 à 14h04
Tomahawk DNS with ip tracker coming soon " />
Le 28/08/2013 à 09h53
ouh voilà qui est très utile…
Le 28/08/2013 à 09h58
Ah bah ça change des “news” que j’ai vu défiler hier soir qui parlaient toutes d’attaques DDoS, je comprenais pas pourquoi, merci PCI " />
Le 28/08/2013 à 10h05
En outre, tous les services DNS n’étaient pas nécessairement impactés de la même manière. David Ulevitch, PDG d’OpenDNS, indiquait ainsi sur le blog de l’entreprise que l’adresse utilisée par la SEA était connue du service. De fait, quand le changement de redirection s’est présenté, OpenDNS l’a rejeté.
Il y a une sorte de “Black List” sur les serveurs DNS habituels?
Le 28/08/2013 à 10h09
Pas si dangereux que ça… Tu dumpes la page d’accueil de chaque site, et chaque utilisateur doit ressaisir ses identifiants, tu les interceptes, et pendant ce temps tu te connectes en direct pour récupérer ce que tu veux… C’est convertissable en espèce de Man in the middle si tu fais transiter le trafic derrière…
Le 28/08/2013 à 10h10
DNSSEC " />
Le 28/08/2013 à 10h11
Donc OpenDNS est un DNS menteur… effrayant…
Je suis curieux de savoir ce que pense Stéphane Bortzmeyer (http://www.bortzmeyer.org ) de ce comportement.
Le 28/08/2013 à 10h16
Le 28/08/2013 à 10h33
Le 28/08/2013 à 10h45
Le 28/08/2013 à 10h46
Pourtant, comme l’indiquant Marc Frons du New York Times, des emails auraient pu être détournés.
Ou renvoyer les utilisateurs sur une page infectée.
Le 28/08/2013 à 10h56
Le 28/08/2013 à 11h05
Le 28/08/2013 à 11h39
Le 28/08/2013 à 11h41
Le 28/08/2013 à 11h51
Le 28/08/2013 à 11h55
Le 28/08/2013 à 11h59
Le 28/08/2013 à 14h13
Le 28/08/2013 à 16h52