Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le site de WikiLeaks attaqué via une redirection DNS

Parfois, pas besoin de méthode complexe

Le site de WikiLeaks attaqué via une redirection DNS

Le 01 septembre 2017 à 15h40

Le site de WikiLeaks a été attaqué hier matin. Pendant quelques heures, une partie des internautes s’y rendant pouvaient lire un message laissé par le groupe de pirates OurMine. Ce ne sont toutefois pas les serveurs de l’organisation qui ont été atteints, mais sa résolution DNS.

Il ne s’agit sans doute pas de la première attaque perpétrée contre WikiLeaks. Le site possède une réputation sulfureuse, particulièrement depuis l’affaire des câbles diplomatiques. Depuis plusieurs mois, c’est la CIA qui fait les frais de son attention très particulière, avec des révélations successives sur les outils et méthodes utilisés durant ses opérations d’espionnage (série Vault 7).

Défi lancé, défi relevé

Seulement cette fois, l’attaque a réussi. Hier matin, certains internautes n’accédaient plus au site classique, selon la zone d’où ils tentaient de le faire. À la place, ils obtenaient une page noire comportant un texte blanc expliquant clairement la situation. Le site avait été « remplacé » par une unique page dans laquelle le groupe OurMine, expliquait que tout ceci n’était qu’une réponse au défi lancé par WikiLeaks de parvenir à les pirater.

Tout est rentré dans l’ordre en quelques heures. Mais peut-on vraiment parler de piratage ? En quelque sorte, mais pas dans le sens où les serveurs de WikiLeaks eux-mêmes ont été attaqués. Les pirates s’en sont pris à un maillon souvent faible de la chaine : le DNS.

Une redirection de la résolution DNS

Comme l’explique le spécialiste des réseaux Stéphane Bortzmeyer sur son blog, la résolution des noms de domaine peut être détournée de manière assez simple, tant les acteurs impliqués dans la chaine sont nombreux. Plutôt que d’essayer d’attaquer le site lui-même, on peut modifier la résolution afin que la requête émise par un navigateur renvoie vers un autre site. Ce qui est précisément le cas ici, sans que le protocole DNS lui-même soit en cause.

L’ingénieur indique que durant l’attaque, se rendre sur wikileaks.org ne renvoyait pas forcément la même adresse IP. De fait, les internautes débarquaient sur la fameuse page noire, alors que le site authentique, lui, existait toujours sans avoir été modifié. On ne sait cependant pas où se situe réellement la faiblesse qui a permis cette attaque. Un mot de passe trop faible chez l’un des prestataires peut suffire.

Il ne s’agirait donc pas d’un cas d'empoisonnement du cache DNS, alors qu'on trouve cette explication dans de nombreux médias.. L’activation de la protection DNSSEC n’aurait donc rien changé dans le cas présent. D’ailleurs, Bortzmeyer pointe qu’elle n’est pas active sur le site de WikiLeaks. Toutefois, même si le site et les serveurs de WikiLeaks n’ont pas été directement attaqués, le résultat est le même : le service est inaccessible et les informations présentées sont contrôlés par le ou les pirates.

Des pirates très actifs

OurMine n'en est en tout cas pas à son premier coup. Le pirate ou groupe a revendiqué de nombreuses attaques sur des services assez divers. L’année dernière, il avait ainsi piraté le compte Twitter de Jack Dorsey, PDG du réseau social. Des sites comme BuzzFeed et d'autres comptes de réseaux sociaux (comme ceux de HBO) ont également été touchés. Il ressort souvent que ce sont de vieux mots de passe qui sont utilisés. L’occasion de rappeler – encore une fois – que chaque création de compte devrait s’accompagner d’un mot de passe fort et différent, ainsi que de l'activation de la double authentification si disponible.

Du côté de WikiLeaks, on ne s’étend pas en communication. La seule évocation officielle de l’incident est un tweet publié hier expliquant : « Une fausse histoire indique que les serveurs de WikiLeaks ont été piratés ».  Effectivement, les serveurs sont a priori indemnes, mais pour les internautes, la différence relevait de la sémantique. 

Commentaires (11)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







fred42 a écrit :



Je n’ai pas la même lecture que toi.





Il y a un méga bémol que le tweet ne montre pas.

Wikileaks est en HTTPS, seules les personnes passant par le HTTP peuvent se faire prendre.


votre avatar

Ta remarque est intéressante, mais ça ne change rien sur l’aspect détournement des mails qui était le point particulier dont on parlait.

votre avatar

“Mais peut-on vraiment parler de piratage ? En quelque sorte, mais dans

le sens où les serveurs de WikiLeaks eux-mêmes ont été attaqués.”

Mais tout le reste de l’article dit que les serveurs n’ont pas été attaqués.&nbsp;<img data-src=" />

votre avatar

Je pense qu’il manque la négation

votre avatar







Winderly a écrit :



“Mais peut-on vraiment parler de piratage ? En quelque sorte, mais dans

le sens où les serveurs de WikiLeaks eux-mêmes ont été attaqués.”

Mais tout le reste de l’article dit que les serveurs n’ont pas été attaqués. <img data-src=" />









Network_23 a écrit :



Je pense qu’il manque la négation





Tips : surbrille le passage et tu verra le système de signalement d’erreur ^^


votre avatar

Minimiser en disant que seul les DNS ont été attaqués, c’est pas glorieux.



Se faire détourner les DNS est plutôt grave, les attaquant peuvent par exemple détourner tous les mails envoyés sur les adresses @wikileaks.org

Ça permet de tomber sur des trucs confidentiels, ou d’avoir accès à tous les trucs qui permettent de changer son mot de passe avec juste une confirmation par mail.

votre avatar







Wawet76 a écrit :



Se faire détourner les DNS est plutôt grave, les attaquant peuvent par exemple détourner tous les mails envoyés sur les adresses @wikileaks.org

Ça permet de tomber sur des trucs confidentiels, ou d’avoir accès à tous les trucs qui permettent de changer son mot de passe avec juste une confirmation par mail.







Pas forcément. Ça dépend de la conf DNS, de la manière dont elle architecturé. L’article ne dit pas le comment exacte, la réponse est ici :http://www.bortzmeyer.org/observations-wikileaks.html et d’après ce que je lis les mails n’auraient pas pu être détournés (ni les MX ni le CNAME ou le A d’après ce que je comprends)



Le problème vient que wikileaks gére lui même ces propre NS sur son domaine via des BLUE RECORD, au lieu d’en faire un géré par lui et un autre géré par un autre prestataire pour diluer le risque. Mais peut être me trompe-je ?


votre avatar

Je n’ai pas la même lecture que toi.



Bortzmeyer dit que les serveurs DNS ont été changés. Et il dit juste un peu plus haut que dans ce cas on contrôle tout le domaine, on peut pirater les mails par exemple.



Quant aux glue record (et pas blue !), ce n’est pas la cause du problème mais un truc marrant qu’il ajoute à la fin de son billet.

votre avatar







fred42 a écrit :



Je n’ai pas la même lecture que toi.



Bortzmeyer dit que les serveurs DNS ont été changés. Et il dit juste un peu plus haut que dans ce cas on contrôle tout le domaine, on peut pirater les mails par exemple.



Quant aux glue record (et pas blue !), ce n’est pas la cause du problème mais un truc marrant qu’il ajoute à la fin de son billet.







Exact, à le relire, c’est une attaque de type social ingénierie, où l’assaillant aurait réussi à prendre le contrôle de la zone complète via le registar ou équivalent . Donc des mails aussi effectivement. Merci fred :)



Pour les glue record oui c’est toujours l’oeuf ou la poule dans ce cas là pour savoir qu’où vient le problème. Pour certains de mes clients j’utilise des glue record pour gérer “en leur nom” les NS sur un dédié. C’est assez pratique. Par contre je tache toujours d’utiliser le dns secondaire de l’hébergeur pour le ns2.domaine.com qui a plus de chance de rester up.



Après il n’y a pas de système parfait, juste on essaye de s’en rapprocher.


votre avatar

C’est justement l’utilisation du ns2.domaine.com pour domaine.com qui est problématique.

Il faudrait utiliser domaine.com NS ns2.hosting-service.com (et pareil pour l’autre NS)

Il ne faut aucune référence à domaine.com dans les NS.



Et aussi, il ne faut pas utiliser le dns secondaire de l’hébergeur du serveur DNS, puisqu’il est préférable que chaque NS soit dans un AS différent, ce qui est rarement le cas dans les services de DNS secondaires.

votre avatar

Tiens, une notion marrant, des mails confidentiels chez wikileaks… <img data-src=" />

Le site de WikiLeaks attaqué via une redirection DNS

  • Défi lancé, défi relevé

  • Une redirection de la résolution DNS

  • Des pirates très actifs

Fermer