La cyberattaque de mardi qui a abouti à rendre inaccessibles plusieurs sites web dont le New York Times et Twitter a débuté par une attaque de phishing contre un revendeur de Melbourne IT, un bureau d'enregistrement de noms de domaine. Cette offensive a fait que les pirates ont modifié les données DNS de plusieurs noms de domaine, comme nytimes.com , sharethis.com , huffingtonpost.co.uk , twitter.co.uk et twimg.com - un domaine appartenant à Twitter, précise dans un blog Jaime Blasco, directeur du laboratoire de recherche d'Alien Vault. Le trafic vers ces sites a été redirigé temporairement vers un serveur contrôlé par les pirates. Cette attaque a été revendiquée par l'Armée Electronique Syrienne (SEA en anglais) composée de hackers qui soutiennent le président Bachar Al-Assad. On retrouve leur signature dans les informations d'enregistrement des noms de domaines ciblés, y compris Twitter.com.

Un partenaire du registrar en maillon faible


Dans un premier temps, les soupçons de piratage ont porté sur les serveurs de Melbourne IT, qui enregistrent et gèrent les noms de domaine. Mais le registrar a indiqué plus tard que c'est le compte d'un de ses revendeurs qui a été compromis. « Les identifiants d'un revendeur de Melbourne IT (nom d'utilisateur et mot de passe) ont été utilisé pour accéder au compte revendeur sur les serveurs de Melbourne IT », a expliqué dans un mail Tony Smith, responsable de la communication du bureau d'enregistrement australien. Il a ajouté que « les DNS de plusieurs noms de domaines sur ce compte revendeur ont été modifiés, y compris nytimes.com ». Par contre, le nom du revendeur n'a pas été divulgué.

Dans un autre email, Bruce Tonkin, CTO de Melbourne IT a révélé que la compromission était le résultat d'une attaque de phishing ciblé qui pourrait avoir affectée plusieurs comptes. « Nous avons obtenu une copie de l'e-mail de phishing et nous en avons informé les destinataires pour qu'ils modifient leur mot de passe ». Il explique par ailleurs, « nous avons également suspendu temporairement l'accès aux comptes utilisateurs touchés jusqu'à ce que les mots de passe soient changés ». Pour autant, les annonces de la société n'ont pas empêché la SEA de pirater le blog de Melbourne IT avec ce message qui laisse supposer qu'ils ont encore un certain niveau d'accès aux systèmes du registrar : « Piraté par SEA, la sécurité de vos serveurs est très faible ».

La solution de verrouiller les données DNS


Certains utilisateurs vont probablement continuer à être affectés par cet incident, même après la correction des enregistrements DNS dans les systèmes de Melbourne IT. En effet avec le système de mise en cache, les changements dans les DNS peuvent prendre jusqu'à 24 heures pour se propager à travers tout Internet. Mathew Prince, le PDG de CloudFlare, société spécialisée dans la sécurité, a souligné dans un blog que ces équipes, celles d'OpenDNS et Google « ont découvert que le site de redirection sur le domaine nytimes.com était un espace Internet (les adresses IP) plein de phishing et de possibles malwares ». Il a modifié son message par la suite en écartant les références aux malwares.

Afin d'empêcher la modification des enregistrements DNS, les propriétaires peuvent demander au bureau d'enregistrement de verrouiller leur domaine. C'est ce qu'a fait Melbourne IT pour nytimes.com et les autres sites touchés. Ce verrou est placé au niveau du registre, c'est-à-dire les entités qui administrent les .com, .net, etc. Pour Mathew Prince, « les registrar ne demandent pas de verrouiller les domaines aux administrateurs des noms de domaines car cela entraîne des difficultés pour certains processus comme le renouvellement automatique ». Pour autant le dirigeant insiste sur le fait que « si vous avez un domaine qui peut-être à risque, vous devez insister auprès de votre registrar pour mettre un verrou au niveau du registre ». Il cite le cas de Twitter où plusieurs noms de domaines ont été redirigés, mais cela n'a pas eu d'impact sur Twitter.com, car il y a un verrou en place.