Alors que les États-Unis réfléchissent à une action militaire en Syrie, contre le régime de Bachar el-Assad, un groupe de hackers s’en est pris à plusieurs entreprises américaines, via leurs sites web. La technique utilisée n’a rien d’original : un détournement de DNS, mais suffisant pour que les sites soient inaccessibles pendant plusieurs heures. Si tout semble rentré dans l’ordre actuellement, les conséquences auraient pu être bien pires.
Crédits image : Olivier Laurelli
Plusieurs sites victimes d'un détournement d'adresses
Le DNS, pour Domain Name System, est une infrastructure utilisée quotidiennement par des centaines de millions d’internautes. Pour rappel, chaque site est identifié par une ou plusieurs adresses IP. Bien que ces dernières puissent être exploitées telles quelles pour y accéder, il faudrait aux utilisateurs retenir de trop nombreux chiffres. Le DNS permet d’associer à ces adresses des expressions écrites, les fameux noms de domaine, beaucoup plus simple à écrire.
C’était justement le DNS qui était visé hier quand plusieurs sites américains ont commencé à devenir inaccessibles en fin d’après-midi. Ainsi, le New York Times, le site de Twitter ou encore le domaine anglais du Huffington Post ne pouvaient plus être joints. Pourquoi ? Parce qu’ils étaient la cible d’une attaque dont l’objectif était le détournement du DNS, autrement dit l’action de faire pointer une adresse classique vers une autre IP.
Une faille de sécurité proche d'un registrar
Concernant le New York Times, les ennuis ont commencé peu après 16h00, soit 22h00 heure française. À 16h20, le directeur du système d’informations, Marc Frons, publie un communiqué aux employés pour leur demander la plus extrême précaution dans les communications. Le nom de domaine du journal ayant été détourné, il était en effet possible qu’une partie des emails soit détournée. Or, le New York Times traite quotidiennement des emails à caractère sensible.
Avec le New York Times et Twitter, d’autres sites sont touchés, notamment la version anglaise du Huffington Post, ou encore twimg.com, qui appartient à Twitter. Tous ces sites ont en point commun leur registrar : Melbourne IT. Le fournisseur a d’ailleurs confirmé à l’Australian Financial Review que tout était parti d’une faille de sécurité chez l’un de ses revendeurs. Cette brèche a permis à des attaquants de détourner les adresses classiques vers d’autres IP, via des identifiants qui permettaient l’accès aux serveurs de configuration.
Une attaque revendiquée par la Syrian Electronic Army
Un peu plus tard dans la soirée, les premiers soupçons d’attaque externe sont arrivés. Peu après, et pendant un temps limité, la page d’accueil du New York Times était défacée. Rapidement, l’auteur des attaques apparaît : la SEA, pour Syrian Electronic Army, un groupe d’hacktivistes s’en prenant aux menaces contre le pouvoir syrien. Cette armée électronique ne tarde d’ailleurs pas à revendiquer directement l’attaque, en commençant par le site de Twitter, et ce via… un tweet :
Pourtant, pendant plusieurs heures, une partie des utilisateurs n’a rien vu, grâce au phénomène de propagation des DNS. La relation existant en effet entre l’URL et l’adresse IP doit être répercutée à travers les serveurs DNS, cette opération n’étant pas immédiate. Une barrière qui a d’ailleurs joué un rôle dans l’autre sens puisqu’une fois rétablis, les bons DNS ont dû être diffusés une nouvelle fois, prolongeant alors l’attente pour une autre partie des internautes.
En outre, tous les services DNS n’étaient pas nécessairement impactés de la même manière. David Ulevitch, PDG d’OpenDNS, indiquait ainsi sur le blog de l’entreprise que l’adresse utilisée par la SEA était connue du service. De fait, quand le changement de redirection s’est présenté, OpenDNS l’a rejeté.
Les conséquences auraient pu être plus importantes
En outre, même si la SEA a gagné en visibilité avec une action de « masse », le détournement DNS n’est pas aussi problématique qu’un piratage du site lui-même. Le détournement a essentiellement donné lieu à une coupure d’accès car certaines opérations n’ont visiblement pas fonctionné. Il n’était donc pas question d’aller voler des données stockées dans une infrastructure. Pourtant, comme l’indiquant Marc Frons du New York Times, des emails auraient pu être détournés. Pour Ullevitch, le potentiel pour Twitter était plus important car du code JavaScript lié est présent sur de très nombreux sites web.
Pour l’heure, tout est rentré dans l’ordre. Un communiqué de Melbourne IT indique notamment que deux actions principales ont été faites : faire revenir les valeurs DNS des sites affectées à leur état initial, et bloquer les identifiants du revendeur piraté. Le fournisseur indique qu’une enquête est toujours en cours et que les informations enregistrées ont été mises de côté pour une analyse plus complète.