Le site de WikiLeaks a été attaqué hier matin. Pendant quelques heures, une partie des internautes s’y rendant pouvaient lire un message laissé par le groupe de pirates OurMine. Ce ne sont toutefois pas les serveurs de l’organisation qui ont été atteints, mais sa résolution DNS.
Il ne s’agit sans doute pas de la première attaque perpétrée contre WikiLeaks. Le site possède une réputation sulfureuse, particulièrement depuis l’affaire des câbles diplomatiques. Depuis plusieurs mois, c’est la CIA qui fait les frais de son attention très particulière, avec des révélations successives sur les outils et méthodes utilisés durant ses opérations d’espionnage (série Vault 7).
Défi lancé, défi relevé
Seulement cette fois, l’attaque a réussi. Hier matin, certains internautes n’accédaient plus au site classique, selon la zone d’où ils tentaient de le faire. À la place, ils obtenaient une page noire comportant un texte blanc expliquant clairement la situation. Le site avait été « remplacé » par une unique page dans laquelle le groupe OurMine, expliquait que tout ceci n’était qu’une réponse au défi lancé par WikiLeaks de parvenir à les pirater.
Tout est rentré dans l’ordre en quelques heures. Mais peut-on vraiment parler de piratage ? En quelque sorte, mais pas dans le sens où les serveurs de WikiLeaks eux-mêmes ont été attaqués. Les pirates s’en sont pris à un maillon souvent faible de la chaine : le DNS.
It appears https://t.co/18SwCRVBRy was hacked; now seems to be offline @wikileaks pic.twitter.com/5CM86AybE7
— Claire Phipps (@Claire_Phipps) 31 août 2017
Une redirection de la résolution DNS
Comme l’explique le spécialiste des réseaux Stéphane Bortzmeyer sur son blog, la résolution des noms de domaine peut être détournée de manière assez simple, tant les acteurs impliqués dans la chaine sont nombreux. Plutôt que d’essayer d’attaquer le site lui-même, on peut modifier la résolution afin que la requête émise par un navigateur renvoie vers un autre site. Ce qui est précisément le cas ici, sans que le protocole DNS lui-même soit en cause.
L’ingénieur indique que durant l’attaque, se rendre sur wikileaks.org ne renvoyait pas forcément la même adresse IP. De fait, les internautes débarquaient sur la fameuse page noire, alors que le site authentique, lui, existait toujours sans avoir été modifié. On ne sait cependant pas où se situe réellement la faiblesse qui a permis cette attaque. Un mot de passe trop faible chez l’un des prestataires peut suffire.
Il ne s’agirait donc pas d’un cas d'empoisonnement du cache DNS, alors qu'on trouve cette explication dans de nombreux médias.. L’activation de la protection DNSSEC n’aurait donc rien changé dans le cas présent. D’ailleurs, Bortzmeyer pointe qu’elle n’est pas active sur le site de WikiLeaks. Toutefois, même si le site et les serveurs de WikiLeaks n’ont pas été directement attaqués, le résultat est le même : le service est inaccessible et les informations présentées sont contrôlés par le ou les pirates.
Des pirates très actifs
OurMine n'en est en tout cas pas à son premier coup. Le pirate ou groupe a revendiqué de nombreuses attaques sur des services assez divers. L’année dernière, il avait ainsi piraté le compte Twitter de Jack Dorsey, PDG du réseau social. Des sites comme BuzzFeed et d'autres comptes de réseaux sociaux (comme ceux de HBO) ont également été touchés. Il ressort souvent que ce sont de vieux mots de passe qui sont utilisés. L’occasion de rappeler – encore une fois – que chaque création de compte devrait s’accompagner d’un mot de passe fort et différent, ainsi que de l'activation de la double authentification si disponible.
Du côté de WikiLeaks, on ne s’étend pas en communication. La seule évocation officielle de l’incident est un tweet publié hier expliquant : « Une fausse histoire indique que les serveurs de WikiLeaks ont été piratés ». Effectivement, les serveurs sont a priori indemnes, mais pour les internautes, la différence relevait de la sémantique.
There is a fake new story circulating that WikiLeaks servers have been hacked. It is false.
— WikiLeaks (@wikileaks) 31 août 2017
