Le New York Times et Twitter victimes hier soir d'un détournement DNS

Le New York Times et Twitter victimes hier soir d’un détournement DNS

Les conséquences auraient pu être plus graves

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

28/08/2013 5 minutes
35

Le New York Times et Twitter victimes hier soir d'un détournement DNS

Alors que les États-Unis réfléchissent à une action militaire en Syrie, contre le régime de Bachar el-Assad, un groupe de hackers s’en est pris à plusieurs entreprises américaines, via leurs sites web. La technique utilisée n’a rien d’original : un détournement de DNS, mais suffisant pour que les sites soient inaccessibles pendant plusieurs heures. Si tout semble rentré dans l’ordre actuellement, les conséquences auraient pu être bien pires.

nyt sea

Crédits image : Olivier Laurelli

Plusieurs sites victimes d'un détournement d'adresses 

Le DNS, pour Domain Name System, est une infrastructure utilisée quotidiennement par des centaines de millions d’internautes. Pour rappel, chaque site est identifié par une ou plusieurs adresses IP. Bien que ces dernières puissent être exploitées telles quelles pour y accéder, il faudrait aux utilisateurs retenir de trop nombreux chiffres. Le DNS permet d’associer à ces adresses des expressions écrites, les fameux noms de domaine, beaucoup plus simple à écrire.

 

C’était justement le DNS qui était visé hier quand plusieurs sites américains ont commencé à devenir inaccessibles en fin d’après-midi. Ainsi, le New York Times, le site de Twitter ou encore le domaine anglais du Huffington Post ne pouvaient plus être joints. Pourquoi ? Parce qu’ils étaient la cible d’une attaque dont l’objectif était le détournement du DNS, autrement dit l’action de faire pointer une adresse classique vers une autre IP.

Une faille de sécurité proche d'un registrar 

Concernant le New York Times, les ennuis ont commencé peu après 16h00, soit 22h00 heure française. À 16h20, le directeur du système d’informations, Marc Frons, publie un communiqué aux employés pour leur demander la plus extrême précaution dans les communications. Le nom de domaine du journal ayant été détourné, il était en effet possible qu’une partie des emails soit détournée. Or, le New York Times traite quotidiennement des emails à caractère sensible.

 

Avec le New York Times et Twitter, d’autres sites sont touchés, notamment la version anglaise du Huffington Post, ou encore twimg.com, qui appartient à Twitter. Tous ces sites ont en point commun leur registrar : Melbourne IT. Le fournisseur a d’ailleurs confirmé à l’Australian Financial Review que tout était parti d’une faille de sécurité chez l’un de ses revendeurs. Cette brèche a permis à des attaquants de détourner les adresses classiques vers d’autres IP, via des identifiants qui permettaient l’accès aux serveurs de configuration.

Une attaque revendiquée par la Syrian Electronic Army 

Un peu plus tard dans la soirée, les premiers soupçons d’attaque externe sont arrivés. Peu après, et pendant un temps limité, la page d’accueil du New York Times était défacée. Rapidement, l’auteur des attaques apparaît : la SEA, pour Syrian Electronic Army, un groupe d’hacktivistes s’en prenant aux menaces contre le pouvoir syrien. Cette armée électronique ne tarde d’ailleurs pas à revendiquer directement l’attaque, en commençant par le site de Twitter, et ce via… un tweet :

 

sea

 

Pourtant, pendant plusieurs heures, une partie des utilisateurs n’a rien vu, grâce au phénomène de propagation des DNS. La relation existant en effet entre l’URL et l’adresse IP doit être répercutée à travers les serveurs DNS, cette opération n’étant pas immédiate. Une barrière qui a d’ailleurs joué un rôle dans l’autre sens puisqu’une fois rétablis, les bons DNS ont dû être diffusés une nouvelle fois, prolongeant alors l’attente pour une autre partie des internautes.

 

En outre, tous les services DNS n’étaient pas nécessairement impactés de la même manière. David Ulevitch, PDG d’OpenDNS, indiquait ainsi sur le blog de l’entreprise que l’adresse utilisée par la SEA était connue du service. De fait, quand le changement de redirection s’est présenté, OpenDNS l’a rejeté.

Les conséquences auraient pu être plus importantes 

En outre, même si la SEA a gagné en visibilité avec une action de « masse », le détournement DNS n’est pas aussi problématique qu’un piratage du site lui-même. Le détournement a essentiellement donné lieu à une coupure d’accès car certaines opérations n’ont visiblement pas fonctionné. Il n’était donc pas question d’aller voler des données stockées dans une infrastructure. Pourtant, comme l’indiquant Marc Frons du New York Times, des emails auraient pu être détournés. Pour Ullevitch, le potentiel pour Twitter était plus important car du code JavaScript lié est présent sur de très nombreux sites web.

 

Pour l’heure, tout est rentré dans l’ordre. Un communiqué de Melbourne IT indique notamment que deux actions principales ont été faites : faire revenir les valeurs DNS des sites affectées à leur état initial, et bloquer les identifiants du revendeur piraté. Le fournisseur indique qu’une enquête est toujours en cours et que les informations enregistrées ont été mises de côté pour une analyse plus complète.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Plusieurs sites victimes d'un détournement d'adresses 

Une faille de sécurité proche d'un registrar 

Une attaque revendiquée par la Syrian Electronic Army 

Les conséquences auraient pu être plus importantes 

Commentaires (35)


ouh voilà qui est très utile…


Ah bah ça change des “news” que j’ai vu défiler hier soir qui parlaient toutes d’attaques DDoS, je comprenais pas pourquoi, merci PCI <img data-src=" />




En outre, tous les services DNS n’étaient pas nécessairement impactés de la même manière. David Ulevitch, PDG d’OpenDNS, indiquait ainsi sur le blog de l’entreprise que l’adresse utilisée par la SEA était connue du service. De fait, quand le changement de redirection s’est présenté, OpenDNS l’a rejeté.



Il y a une sorte de “Black List” sur les serveurs DNS habituels?


Pas si dangereux que ça… Tu dumpes la page d’accueil de chaque site, et chaque utilisateur doit ressaisir ses identifiants, tu les interceptes, et pendant ce temps tu te connectes en direct pour récupérer ce que tu veux… C’est convertissable en espèce de Man in the middle si tu fais transiter le trafic derrière…


DNSSEC <img data-src=" />


Donc OpenDNS est un DNS menteur… effrayant…

Je suis curieux de savoir ce que pense Stéphane Bortzmeyer (http://www.bortzmeyer.org ) de ce comportement.








nozdus a écrit :



Donc OpenDNS est un DNS menteur… effrayant…





c’est connu depuis longtemps que c’est un DNS menteur… <img data-src=" />









nozdus a écrit :



Donc OpenDNS est un DNS menteur… effrayant…

Je suis curieux de savoir ce que pense Stéphane Bortzmeyer (http://www.bortzmeyer.org ) de ce comportement.









Patch a écrit :



c’est connu depuis longtemps que c’est un DNS menteur… <img data-src=" />







+1 C’est leur gagne-pain ^^”









salak a écrit :



DNSSEC <img data-src=" />







Je vois pas ce qu’aurais apporter l’utilisation de DNSSEC..

http://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions





Cette brèche a permis à des attaquants de détourner les adresses classiques vers d’autres IP, via des identifiants qui permettaient l’accès aux serveurs de configuration.





Donc en soit la demande de maj pour les différents serveurs DNS était légitime…Puisque fait depuis l’outils de conf du registar…





Pourtant, comme l’indiquant Marc Frons du New York Times, des emails auraient pu être détournés.



Ou renvoyer les utilisateurs sur une page infectée.








nozdus a écrit :



Donc OpenDNS est un DNS menteur… effrayant…

Je suis curieux de savoir ce que pense Stéphane Bortzmeyer (http://www.bortzmeyer.org ) de ce comportement.







Pourqui donc ? j’ai pas compris comment tu as déduit ça à la lecture de l’article.

La news dit

David Ulevitch, PDG d’OpenDNS, indiquait ainsi sur le blog de l’entreprise que l’adresse utilisée par la SEA était connue du service. De fait, quand le changement de redirection s’est présenté, OpenDNS l’a rejeté.





C’est plutot bien non ?









nozdus a écrit :



Donc OpenDNS est un DNS menteur… effrayant…

.







allez ça va nous ressortir le vieille article d’y 5 ou 6 ans je sais plus



perso j’utilise depuis plus de 5 ans OpenDNS jamais rien vu donc ….









nozdus a écrit :



Donc OpenDNS est un DNS menteur… effrayant…

Je suis curieux de savoir ce que pense Stéphane Bortzmeyer (http://www.bortzmeyer.org ) de ce comportement.





Un DNS menteur, c’est un DNS qui redirige vers une page qu’ils choisissent, là ce n’est pas le cas.









spamator a écrit :



Pourqui donc ? j’ai pas compris comment tu as déduit ça à la lecture de l’article.

La news dit



C’est plutot bien non ?







J’ai pas compris non plus…









nozdus a écrit :



Donc OpenDNS est un DNS menteur… effrayant…

Je suis curieux de savoir ce que pense Stéphane Bortzmeyer (http://www.bortzmeyer.org ) de ce comportement.







Ben si tu veux savoir, il en pense pas du bien… <img data-src=" />



http://www.bortzmeyer.org/opendns-non-merci.html









B.O.R.E.T.’ a écrit :



Ben si tu veux savoir, il en pense pas du bien… <img data-src=" />



http://www.bortzmeyer.org/opendns-non-merci.html





Je croyais qu’OpenDNS n’était plus menteur quand on créait un compte gratuit ?









Crysalide a écrit :



Je croyais qu’OpenDNS n’était plus menteur quand on créait un compte gratuit ?







Créer un compte (même gratuit) pour utiliser un DNS, ya anguille sous roche selon moi.









B.O.R.E.T.’ a écrit :



Ben si tu veux savoir, il en pense pas du bien… <img data-src=" />



http://www.bortzmeyer.org/opendns-non-merci.html







point Delorean spotted <img data-src=" />









ibubbl3 a écrit :



Je vois pas ce qu’aurais apporter l’utilisation de DNSSEC..

http://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions







Donc en soit la demande de maj pour les différents serveurs DNS était légitime…Puisque fait depuis l’outils de conf du registar…







Heu… Piquer ses clefs à quelqu’un et ouvrir sa porte avec ne devient pas légal juste parce qu’on a effectivement utilisé des clefs pour ouvrir au lieu d’un pied de biche.



Une attaque à leur niveau quoi. Une attaque de merde.

Ils n’ont pas les compétences nécessaires pour faire une véritable attaque informatique digne de ce nom <img data-src=" />


Ah bah en fait en faisant une petite recherche, @bortzmeyer y avait répondu hier et il était tout aussi effrayé que moi, me voilà rassuré :)



=&gt;https://twitter.com/bortzmeyer/status/372494746939555840





  • @atoonk : … Just use @opendnshttp://use.opendns.com

  • @bortzmeyer : … And by which magic a resolver like OpenDNS could fix unauthorized modifications done in the registry?

  • @atoonk : … I think it’s a better option than sending folks to possibly malicious sites. Don’t you agree?

  • @bortzmeyer : … I’m quite scared that a resolver can decide unilaterally to modify DNS data.



    CQFD








Crysalide a écrit :



Je croyais qu’OpenDNS n’était plus menteur quand on créait un compte gratuit ?







Même avis que John Shaft, c’est assez suspicieux d’avoir à créer un compte pour utiliser un DNS.







trash54 a écrit :



point Delorean spotted <img data-src=" />







<img data-src=" />



Bah l’article date de 2009, certes, mais en dehors de la “parano” (le fait qu’un service DNS voit beaucoup de choses, ce qui est vrai aussi) les arguments qu’il avance sont toujours d’actualité.



Pour le péquin moyen, hormis si les DNS du FAI sont en mousse ou alors si t’es en déplacement dans un pays qui filtre, je ne vois aucun intérêt à utiliser OpenDNS. Autant installer un résolveur local, et moins de latence en bonus.



Pour le péquin pas moyen (genre l’admin réseau), il a des outils plus adaptés pour faire de la gestion, du filtrage…









John Shaft a écrit :



Créer un compte (même gratuit) pour utiliser un DNS, ya anguille sous roche selon moi.





Même sans compte, il y a possibilité de tracking. Qui te dit que Google ne fait pas d’IP tracking à partir de ses DNS gratuits en liant les sites demandés aux IP (donc toi) qui les demandent dans le but d’afficher des pubs dans ses services en fonction des sites que tu visites le plus ?









GuiTheGuy a écrit :



Heu… Piquer ses clefs à quelqu’un et ouvrir sa porte avec ne devient pas légal juste parce qu’on a effectivement utilisé des clefs pour ouvrir au lieu d’un pied de biche.





Il n’a pas dit légal, il a dit légitime.

Je pense qu’il a voulu dire que les serveurs ont accepté la requête parce que le SEA avait les identifiants. Du point de vue des serveurs la demande était légitime (de la même façon que la serrure ne peut rien bloquer si on a la clé).



Après c’est sûr que ça reste illégal…









Crysalide a écrit :



Même sans compte, il y a possibilité de tracking. Qui te dit que Google ne fait pas d’IP tracking à partir de ses DNS gratuits en liant les sites demandés aux IP (donc toi) qui les demandent dans le but d’afficher des pubs dans ses services en fonction des sites que tu visites le plus ?







Bonne question, mais vu que je n’utilise pas le DNS de Google… <img data-src=" />









B.O.R.E.T.’ a écrit :



<img data-src=" />



Bah l’article date de 2009, certes, mais en dehors de la “parano” (le fait qu’un service DNS voit beaucoup de choses, ce qui est vrai aussi) les arguments qu’il avance sont toujours d’actualité.





Si je peux me permettre, un article qui conseille GoogleDNS au lieu d’OpenDNS avec au milieu l’argument de la revente des données, je trouve que c’est fort de café.









Crysalide a écrit :



Même sans compte, il y a possibilité de tracking. Qui te dit que Google ne fait pas d’IP tracking à partir de ses DNS gratuits en liant les sites demandés aux IP (donc toi) qui les demandent dans le but d’afficher des pubs dans ses services en fonction des sites que tu visites le plus ?







<img data-src=" /> tu oses insinuer que google utilise tes données pour améliorer l’affichage de leur pub











<img data-src=" /><img data-src=" />









GuiTheGuy a écrit :



Heu… Piquer ses clefs à quelqu’un et ouvrir sa porte avec ne devient pas légal juste parce qu’on a effectivement utilisé des clefs pour ouvrir au lieu d’un pied de biche.







y dit qu’il voit pas le rapport <img data-src=" />



Je dit légitime techniquement parlant. Le dns qui reçoit la demande de mise à jour est bien incapable de comprendre qu’il s’agit d’une manoeuvre frauduleuse au départ. Et donc sécuriser les échanges de zone avec DNSSEC n’apporte strictement rien dans ce cas.




Dommage d’avoir fait si peut alors qu’il pouvait certainement faire beaucoup, notamment récupération d’identifiant via une copie du site original.



Pour les emails, qu’est-ce qui fait penser qu’ils ont pas tenté une récupération ? Pas changement du champs MX ?








patos a écrit :



Si je peux me permettre, un article qui conseille GoogleDNS au lieu d’OpenDNS avec au milieu l’argument de la revente des données, je trouve que c’est fort de café.







L’argument en faveur de GoogleDNS, c’est qu’au moins, il ne s’agit pas d’un DNS menteur. Après, c’est sûr que question vie privée, c’est pas la panacée, mais je pense qu’un type comme Bortzmeyer est bien placé pour le savoir ^^









John Shaft a écrit :



Créer un compte (même gratuit) pour utiliser un DNS, ya anguille sous roche selon moi.









Crysalide a écrit :



Même sans compte, il y a possibilité de tracking. Qui te dit que Google ne fait pas d’IP tracking à partir de ses DNS gratuits en liant les sites demandés aux IP (donc toi) qui les demandent dans le but d’afficher des pubs dans ses services en fonction des sites que tu visites le plus ?





Google fait bien mieux :

à chaque fois que tu cliques sur un lien, tu passes par une page de redirection google, c’est bien plus ciblé que des requètes DNS.









ibubbl3 a écrit :



Je vois pas ce qu’aurais apporter l’utilisation de DNSSEC..

http://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions



Donc en soit la demande de maj pour les différents serveurs DNS était légitime…Puisque fait depuis l’outils de conf du registar…







Sauf que dans DNSSEC il y a un cache des clés, du coup, le pirate doit d’abord remplacer la clé (en admettant qu’il n’ai pas besoin de la clé initial pour effectuer ce remplacement…). Donc en admettant que le pirate arrive à enclencher le remplacement de la clé, il va y avoir un délais avant qu’il puisse modifier la zone, ce qui devrait permettre de s’apercevoir de l’attaque avant que l’utilisateur finale ne soit concerné.



Tomahawk DNS with ip tracker coming soon <img data-src=" />








psn00ps a écrit :



Google fait bien mieux :

à chaque fois que tu cliques sur un lien, tu passes par une page de redirection google, c’est bien plus ciblé que des requètes DNS.







Bien mieux, c’est vite dit. Avec ce système, Google voit les liens sur lesquels tu cliques quand t’es sur Google. Avec un DNS, tu peux voir tous les sites visités par chacun des utilisateurs ^^



Sinon, comme ça me faisait chier ce système de redirection (ça fait des URL à la con), j’avais bloqué tout le javascript chez Google (chose que je fais parfois sur certains sites qui refresh automatiquement la page toutes les 2 minutes).



Comme c’est assez chiant de bloquer le JS de Google (pas mal de fonctionnalités qui ne marchent plus) j’utilise l’addon Redirect Cleaner pour Firefox qui fonctionne sur pas mal de sites), et ça fait assez bien le boulot <img data-src=" />









B.O.R.E.T.’ a écrit :



Bien mieux, c’est vite dit. Avec ce système, Google voit les liens sur lesquels tu cliques quand t’es sur Google. Avec un DNS, tu peux voir tous les sites visités par chacun des utilisateurs ^^





Tu n’as aucune indication sur le contenu de la page finale avec l’info DNS.

Google le sait et peut deviner qui tu es (au sens large), quels sont tes centres d’intérêt, ton OS, où tu es si tu as la géolocalisation, ton genre d’applis, …