C’est un communiqué qui nous apprend que l’autorité de régulation d’internet ICANN (Internet Corporation for Assigned Names and Numbers)qui est en charge de la gestion des noms de domaine de premier niveau a sans doute été la victime d’une « attaque d’hameçonnage ciblé » qui a été lancée en fin novembre 2014. Comme c’est souvent le cas, l’attaque s’est appuyée sur des techniques d’ingénierie sociale : les pirates ont alors envoyé des courriels à plusieurs membres du personnel de l’ICANN dans le but d’obtenir l’accès à leurs comptes de messagerie.

L’opération a été couronnée de succès puisque l’ICANN explique que « début décembre 2014, nous avons découvert que les mots de passe exfiltrés avaient été utilisés pour accéder à d’autres systèmes de l’ICANN en plus de la messagerie ». Ceux qui ont été touchés sont le service centralisé de données de zone (CZDS) (czds.icann.org) ainsi que la page Wiki de l’ICANN consacrée au GAC (Governmental Advisory Comitee).

Dans le premier service, les pirates ont pu avoir accès à l’ensemble des fichiers puisqu’ils ont obtenu l’accès avec droits d’administrateur à tous les fichiers du CZDS. Il faut savoir que cette infrastructure représente un point d’accès centralisé pour les parties intéressées afin qu’elles puissent demander l’accès aux fichiers de zone fourni par les TLD (Top Level Domains). Les fichiers de zone TLD regroupent des données techniques relatives aux extensions comme les noms de domaines, le nom de serveur associé et l’adresse IP de ces serveurs.

Mais ce n’est pas tout. Le CZDS stocke également tout un tas de données personnelles relatives à ses utilisateurs comme les noms, adresses postales, adresses mail, numéros de téléphone ou de fax, noms d’utilisateur et mots de passe. « Bien que les mots de passe CZDS stockés soient sécurisés par hachage et salage, nous les avons désactivés par précaution. Les utilisateurs peuvent demander de nouveaux mots de passe à czds.icann.org » a expliqué l’ICANN avant de suggérer aux utilisateurs CZDS de prendre des mesures appropriées pour protéger tout autre compte en ligne où ils auraient pu utiliser le même utilisateur et/ou mot de passe.

Dans le second service qui est la page Wiki de l’ICANN consacrée au GAC, une instance de conseil qui représente les différents pays du monde, les pirates ont pu consulter la page d’informations publiques (gacweb.icann.org), la page d’index réservée aux membres et une seule page de profil d’utilisateur ont été consultées. « Aucun autre contenu non public n’a été consulté », assure l’ICANN.

En dehors, de ces deux services, l’ICANN a déploré un accès non autorisé à deux autres de ses systèmes : le blog de l’ICANN (blog.icann.org) et le portail d’information sur le WHOIS de l’ICANN (whois.icann.org). Cependant, l’accès à ces deux systèmes n’a pas eu d’impact.

« Les recherches menées à ce jour montrent qu’aucun autre système n’a été compromis et nous avons confirmé que cette attaque n’a pas d’impact sur les systèmes liés à l’IANA » a conclut l’ICANN qui en a profité pour rappeler avoir mis en place un programme destiné à renforcer la sécurité des informations de tous ses systèmes et qui a sans doute contribué à limiter l’accès non autorisé obtenu à partir de l’attaque. « Depuis que l’attaque a été identifiée, nous avons mis en place des mesures de sécurité supplémentaires », avance le régulateur.

Stéphane Le Calme

(Source : Développez.com, 18 décembre 2014)