Un piratage du style de celui du New York Times peut-il facilement arriver en France?
Par Florian Reynaud | publié le 28/08/2013 à 10h23, mis à jour le 29/08/2013 à 14h05
The New York Times par Joe Shlabotnik via FlickrCC License by
Au soir du mardi 27 août, le site du New York Times se retrouve inaccessible: rapidement, le problème est mis sur le compte d'une attaque extérieure avant que par la suite, c'est Twitter qui ne soit l'objet d'une attaque.
Derrière ces piratages informatiques, la Syrian Electronic Army (SEA ou Armée électronique syrienne), un groupe de hackers syriens et pro-Assad, qui a revendiqué les piratages de Twitter, du New York Times ou encore du Huffington Post sur son compte Twitter. Selon Motherboard, ce groupe serait essentiellement composé d'amateurs comptant notamment à leur tête un jeune hackeur pro-Assad de 19 ans. Mais qu'ont-ils fait exactement?
La SEA n'a attaqué ni Twitter, ni le Huffington Post ni le New York Times
Dans la soirée, le Wall Street Journal profitait des mésaventures du New York Times pour retirer provisoirement son paywall afin de donner un accès gratuit à tout son site et promouvoir un de ses tweets. Ici, la blague fait référence au firewall (pare-feu) du New York Times, qui serait down (atteint par une attaque informatique et K.O.)
Sauf qu'à aucun moment, la SEA n'a attaqué les serveurs des sites visés. Pas d'attaque par déni de service ou de faille de sécurité exploitée ce soir-là. Twitter, par exemple, dispose de multiples serveurs qui gèrent de nombreux services différents du site: il est extrêmement compliqué et assez long, même si c'est possible, de s'attaquer directement au site.
En réalité, les hackers se sont attaqués au point commun entre tous ces sites: Melbourne IT. Melbourne IT, c'est un domain name registrar, en français un bureau d'enregistrement. Selon le lexique de l'Afnic:
«Un bureau d'enregistrement est un organisme (FAI, hébergeur, prestataire de service internet...) qui assure dans le cadre d'une prestation payante l'enregistrement et l'hébergement de noms de domaine auprès des gestionnaires (appelés registres) pour lesquels il est accrédité.»
Si vous voulez mettre en ligne un site, vous avez besoin d'acheter un nom de domaine et d'héberger votre site sur un serveur. Melbourne IT est l'entreprise qui vend et gère des noms de domaine, comme par exemple nytimes.com.
La firme s'est expliquée dans un communiqué et a confirmé que les problèmes venaient du registrar, rapporte l'Australian Financial Review:
«Un porte-parole de la compagnie basée à Melbourne a dit mercredi que les identifiants d'un revendeur basé aux Etats-Unis, qui revend des noms de domaines possédés par Melbourne IT, ont été compromis, et le compte du revendeur utilisé pour accéder aux détails clés de neuf noms de domaines et les changer.»
Vers deux heures du matin, Twitter publiait un statut expliquant qu'il subissait des problèmes au niveaux de ses noms de domaine et DNS (service qui traduit le nom de domaine en adresse IP). Le compte Twitter de la Syrian Electronic Army publiait quand à lui des photos éloquentes.
Cette capture d'écran du Whois du nom de domaine twitter.com semble être la preuve que les hackers ont eu accès au registrar, et ont ainsi pu changer le nom d'administrateur en SEA SEA.
Selon le blog de l'entreprise Cloudflare, la même méthode a été utilisée avec le New York Times, sauf que les hackers ont également changé les noms des serveurs DNS, qui n'ont plus renvoyé vers les serveurs du journal, mais, selon le site, vers une page contenant un malware.
Mercredi 28 août vers 15h, la SEA a annoncé sur son compte Twitter avoir piraté le site de Melbourne IT. En effet, une page indiquée par les hackers sur le site du registrar renvoyait une page blanche accolée de la mention «Piraté par SEA. La sécurité de vos serveurs est très faible.»
La France n'est pas à l'abri
En France, la plupart des sites de presse courent le risque d'une attaque par registrar de ce type, comme n'importe quel site n'importe où dans le monde. Le marché des noms de domaine y semble plus concentré qu'aux Etats-Unis, qui comptent cependant plus de sites. Impossible d'être exhaustif, mais on sait qu'en plus de Melbourne IT, on trouve par exemple MarkMonitor (facebook.com, yahoo.com, msn.com, reuters.com...), Corporate Domains (slate.com, wired.com..), Network Solutions (theatlantic.com, qz.com, vice.com..) ou encore GoDaddy (dailydot.com).
En France, une recherche Whois sur les grands sites d'information montre que deux fournisseurs de noms de domaine dominent le marché. D'un côté, Ascio Technologies Inc.: lemonde.fr, leparisien.fr, nouvelobs.com, lexpress.fr ou encore francetvinfo.fr ont été achetés chez ce registrar. Mais le fournisseur le plus populaire est Gandi, choisi par elle.fr, sudouest.fr, europe1.fr, allocine.fr, rue89.com, ouest-france.fr et lepoint.fr —Slate.fr est pour sa part enregistré chez Oxyd.
Evaluer les risques est cependant difficile, explique le blogueur Stéphane Bortzmeyer:
«Contrairement à un crash d'avion, il y a rarement une expertise indépendante après incident. La règle veut que personne ne soit invulnérable.»
Mais la concentration des sites d'information dans deux registrar pose problème. Le rapport 2012 de l'Observatoire sur la résilience d'Internet en France témoigne de cette concentration:
«Vu sous l’angle du DNS, on remarque que l’Internet français se caractérise par de fortes concentrations: concentrations au niveau des hébergeurs DNS mais également au niveau des opérateurs et autres FAI, auxquels les utilisateurs finaux s’adressent pour la résolution DNS avant d’accéder à toute autre ressource sur le réseau. [...] Cette double concentration laisse à penser qu’une défaillance d’un acteur important de la communauté DNS pourrait avoir un impact significatif sur le fonctionnement de l’Internet français.»
Pour Stéphane Bortzmeyer, le problème est cependant délicat puisqu'une dispersion des registrar en une multitudes d'acteurs peu sérieux et à la sécurité plus faible serait plus dangereux qu'un oligopole solide.
Collé à partir de <http://www.slate.fr/monde/76956/twitter-new-york-times-syrie-hack>
