Hier, Facebook a été la cible d’une attaque d’un groupe de hackers. Les conséquences ont finalement été très limitées mais le potentiel de nuisance était bel et bien réel. La Syrian Electronic Army, impliquée dans un nombre croissant d’actions de ce genre, a visiblement renoncé à poursuivre ses manipulations par manque de temps.
Une attaque qui aurait pu très mal tourner
La Syrian Electronic Army s’en est donc prise à Facebook. Dans un tweet publié cette nuit un peu après minuit, elle a publié une capture d’écran montrant que l’adresse de contact de l’administrateur a été changée, passant de « domain@fb.com » à « syrian.es.sy@gmail.com »
Happy Birthday Mark! http://t.co/yWBwvXPGRZ owned by #SEA http://t.co/gk8nGxATLt pic.twitter.com/eAeGp1TvBF
— SyrianElectronicArmy (@Official_SEA16) 5 Février 2014
L’objectif final était de prendre le contrôle du nom de domaine afin de pouvoir réorienter les utilisateurs vers d’autres sites. Idéalement, les pirates mettaient en place une fausse copie de Facebook invitant les internautes à effectuer des opérations qui auraient mis en danger leurs informations personnelles, potentiellement leurs données bancaires.
L’attaque intervient alors que Facebook fête ses dix ans de fonctionnement, un anniversaire important. Pour autant, plus que de peur que de mal puisque la Syrian Electronic Army n’a pas terminé ses manipulations. Elle indique en effet qu’elle a manqué de temps pour finir son travail de sape, et Facebook a repris depuis possession de ce qui lui appartient. Un « whois » sur le domaine permet de voir que l’adresse de contact a été restaurée.
La SEA est une habituée des attaques contre les registrars
Le maillon faible était visiblement le registrar de Facebook, à savoir MarkMonitor. Si le réseau social a bien confirmé auprès de The Hacker News qu’une attaque avait bien eu lieu, MarkMonitor a de son côté refusé de commenter la situation, y compris après les demandes de The Next Web, citant sa politique de ne jamais confirmer ou infirmer des attaques contre ses infrastructures. Dans les tweets de la SEA, on peut cependant voir une capture du panneau d’administration de MarkMonitor. Or, selon les pirates, le registrar n’aurait pas hésité à fermer le portail d’accès en conséquence de l’attaque.
Car la SEA n’en est pas à son premier essai en la matière. L’été dernier, le groupe de pirates avait procédé de la même manière en s’en prenant au registrar MelbourneIT pour court-circuiter les sites de Twitter, du New York Times et du Huffington Post. Cette fois cependant, quelle que soit la raison réelle, l’attaque a échoué car Facebook n’a visiblement subi aucune altération de son fonctionnement, comme l’entreprise l’affirme.
Les conséquences de ce type peuvent cependant être très lourdes. Lors d’un entretien en août dernier avec Stéphane Bortzmeyer, architecte systèmes et réseaux spécialisé dans les questions de DNS, nous avions ainsi brossé un portrait général des actions possibles, telles que le détournement des emails et la mise en place de malwares. Il ajoutait au passage qu’en dépit de bonnes pratiques de sécurité, le risque zéro était impossible. Il donnait d’ailleurs quelques pistes de réflexion dans le cas des registrars, notamment « la possibilité de dire qu’un domaine donné ne pourrait être modifié qu’à travers une procédure lourde, contraignante et avec des vérifications ».
