Les serveurs email de Comcast ont été piratés par le groupe NullCrew FTS

La société Comcast a elle aussi été victime d’une attaque qui a entrainé le vol de certaines informations, notamment des mots de passe importants. Le groupe de pirates NullCrew FTS revendique notamment l’accès au service d’annuaire LDAP des serveurs Zimbra utilisé par le fournisseur d’accès.

Crédits : Mr. T in DC, licence Creative Commons

Une attaque dirigée contre le plus grand fournisseur d'accès aux États-Unis

Le groupe de pirates NullCrew FTS s’est vanté sur Twitter d’avoir réussi à pirater une partie des serveurs utilisés par le fournisseur d’accès Comcast pour stocker les emails des abonnés. Ces serveurs, au nombre de 34 selon les pirates, sont utilisés pour le webmail Zimbra. Si le nom vous semble familier, c’est que la même plateforme de courrier électronique est utilisée par Free.

Les pirates ont posté sur Pastebin des informations (maintenant supprimées) montrant que les mots de passe du service d’annuaire LDAP et de la base de données MySQL rattachés à Zimbra avaient été volés. Toujours selon NullCrew FTS, c’est une faille de type RFI (Remote File Inclusion) qui a été utilisée. Une telle vulnérabilité permet, grâce à une absence de vérification suffisante sur certaines entrées, de déposer un fichier sur un serveur. L’objectif est le plus souvent le vol de données, ce qui est le cas ici, mais NullCrew FTS aurait pu tout aussi bien déclencher des attaques par déni de service (DDoS) ou de type XSS (Cross-site scripting).

NullCrew Vs Comcast: http://t.co/D8szZkXLt4 - Have fun, everyone.

— NullCrew (@NullCrew_FTS) 5 Février 2014

Les pirates avaient annoncé leur intention quelques heures avant

Ni les identifiants ni les mots de passe n’ont été donnés par le groupe de pirates. Dans le document sur Pastebin, ce dernier explique la raison du choix de sa cible : Comcast est le plus grand fournisseur d’accès aux États-Unis, le troisième plus grand opérateur de téléphonie fixe et la plus grande société de médias et de communications dans le monde en termes de chiffre d’affaires. Les pirates se demandaient « simplement » si l’infrastructure du géant était à la hauteur de son énormité. Le ton employé suggère qu’ils n’ont pas été impressionnés, pointant alors du doigt les 34 serveurs vulnérables à des attaques de type RFI.

En fait, l’attaque n’aurait pas dû être une surprise car les pirates… avaient en fait annoncé leur intention. Au courant des failles sur les serveurs depuis un petit moment déjà, ils ont interpelé Comcast d’une manière assez particulière :

Une représentante de la firme est ainsi intervenue sur Twitter pour demander « en quoi elle pouvait aider ». La réponse de l’un des membres du groupe, visiblement amusé, ne tarde pas : « Réparer les failles dans vos serveurs mail avant que nous ne nous en emparions ? Zimbra est nul, vous ne saviez pas ? ». Ce qui donnera plus tard l’occasion à d’autres membres du groupe de moquer l’attitude passive de Comcast en soulignant le fait que le support n’avait visiblement pas su quoi faire de l’information. Difficile pourtant dans ce genre de cas de savoir si les menaces sont sérieuses ou non.

Comcast, de son côté, a procédé à une maintenance en dehors de son cycle régulier, ce qui indiquerait qu’un correctif a bien été mis en place sans qu’il puisse attendre. Cependant, la firme reste essentiellement silencieuse et n’a pas souhaité réagir pour le moment aux questions au sujet de cet incident. Rien n'indique d'ailleurs que des données utilisateurs ont été effectivement dérobées.