Le site de WikiLeaks a été attaqué hier matin. Pendant quelques heures, une partie des internautes s’y rendant pouvaient lire un message laissé par le groupe de pirates OurMine. Ce ne sont toutefois pas les serveurs de l’organisation qui ont été atteints, mais sa résolution DNS.
Il ne s’agit sans doute pas de la première attaque perpétrée contre WikiLeaks. Le site possède une réputation sulfureuse, particulièrement depuis l’affaire des câbles diplomatiques. Depuis plusieurs mois, c’est la CIA qui fait les frais de son attention très particulière, avec des révélations successives sur les outils et méthodes utilisés durant ses opérations d’espionnage (série Vault 7).
Défi lancé, défi relevé
Seulement cette fois, l’attaque a réussi. Hier matin, certains internautes n’accédaient plus au site classique, selon la zone d’où ils tentaient de le faire. À la place, ils obtenaient une page noire comportant un texte blanc expliquant clairement la situation. Le site avait été « remplacé » par une unique page dans laquelle le groupe OurMine, expliquait que tout ceci n’était qu’une réponse au défi lancé par WikiLeaks de parvenir à les pirater.
Tout est rentré dans l’ordre en quelques heures. Mais peut-on vraiment parler de piratage ? En quelque sorte, mais pas dans le sens où les serveurs de WikiLeaks eux-mêmes ont été attaqués. Les pirates s’en sont pris à un maillon souvent faible de la chaine : le DNS.
It appears https://t.co/18SwCRVBRy was hacked; now seems to be offline @wikileaks pic.twitter.com/5CM86AybE7
— Claire Phipps (@Claire_Phipps) 31 août 2017
Une redirection de la résolution DNS
Comme l’explique le spécialiste des réseaux Stéphane Bortzmeyer sur son blog, la résolution des noms de domaine peut être détournée de manière assez simple, tant les acteurs impliqués dans la chaine sont nombreux. Plutôt que d’essayer d’attaquer le site lui-même, on peut modifier la résolution afin que la requête émise par un navigateur renvoie vers un autre site. Ce qui est précisément le cas ici, sans que le protocole DNS lui-même soit en cause.
L’ingénieur indique que durant l’attaque, se rendre sur wikileaks.org ne renvoyait pas forcément la même adresse IP. De fait, les internautes débarquaient sur la fameuse page noire, alors que le site authentique, lui, existait toujours sans avoir été modifié. On ne sait cependant pas où se situe réellement la faiblesse qui a permis cette attaque. Un mot de passe trop faible chez l’un des prestataires peut suffire.
Il ne s’agirait donc pas d’un cas d'empoisonnement du cache DNS, alors qu'on trouve cette explication dans de nombreux médias.. L’activation de la protection DNSSEC n’aurait donc rien changé dans le cas présent. D’ailleurs, Bortzmeyer pointe qu’elle n’est pas active sur le site de WikiLeaks. Toutefois, même si le site et les serveurs de WikiLeaks n’ont pas été directement attaqués, le résultat est le même : le service est inaccessible et les informations présentées sont contrôlés par le ou les pirates.
Des pirates très actifs
OurMine n'en est en tout cas pas à son premier coup. Le pirate ou groupe a revendiqué de nombreuses attaques sur des services assez divers. L’année dernière, il avait ainsi piraté le compte Twitter de Jack Dorsey, PDG du réseau social. Des sites comme BuzzFeed et d'autres comptes de réseaux sociaux (comme ceux de HBO) ont également été touchés. Il ressort souvent que ce sont de vieux mots de passe qui sont utilisés. L’occasion de rappeler – encore une fois – que chaque création de compte devrait s’accompagner d’un mot de passe fort et différent, ainsi que de l'activation de la double authentification si disponible.
Du côté de WikiLeaks, on ne s’étend pas en communication. La seule évocation officielle de l’incident est un tweet publié hier expliquant : « Une fausse histoire indique que les serveurs de WikiLeaks ont été piratés ». Effectivement, les serveurs sont a priori indemnes, mais pour les internautes, la différence relevait de la sémantique.
There is a fake new story circulating that WikiLeaks servers have been hacked. It is false.
— WikiLeaks (@wikileaks) 31 août 2017
Commentaires (12)
#1
“Mais peut-on vraiment parler de piratage ? En quelque sorte, mais dans
" />
le sens où les serveurs de WikiLeaks eux-mêmes ont été attaqués.”
Mais tout le reste de l’article dit que les serveurs n’ont pas été attaqués.
#2
Je pense qu’il manque la négation
#3
#4
Minimiser en disant que seul les DNS ont été attaqués, c’est pas glorieux.
Se faire détourner les DNS est plutôt grave, les attaquant peuvent par exemple détourner tous les mails envoyés sur les adresses @wikileaks.org
Ça permet de tomber sur des trucs confidentiels, ou d’avoir accès à tous les trucs qui permettent de changer son mot de passe avec juste une confirmation par mail.
#5
#6
Je n’ai pas la même lecture que toi.
Bortzmeyer dit que les serveurs DNS ont été changés. Et il dit juste un peu plus haut que dans ce cas on contrôle tout le domaine, on peut pirater les mails par exemple.
Quant aux glue record (et pas blue !), ce n’est pas la cause du problème mais un truc marrant qu’il ajoute à la fin de son billet.
#7
#8
C’est justement l’utilisation du ns2.domaine.com pour domaine.com qui est problématique.
Il faudrait utiliser domaine.com NS ns2.hosting-service.com (et pareil pour l’autre NS)
Il ne faut aucune référence à domaine.com dans les NS.
Et aussi, il ne faut pas utiliser le dns secondaire de l’hébergeur du serveur DNS, puisqu’il est préférable que chaque NS soit dans un AS différent, ce qui est rarement le cas dans les services de DNS secondaires.
#9
Tiens, une notion marrant, des mails confidentiels chez wikileaks…
" />
#10
#11
Ta remarque est intéressante, mais ça ne change rien sur l’aspect détournement des mails qui était le point particulier dont on parlait.