Attaque DNS en Pologne et au Pakistan contre Google, Microsoft et Yahoo

le 29/11/2012, par Jean Elyan avec IDG News Service, Sécurité, 914 mots

Des pirates ont détourné les domaines .ro et .pk de Google, Microsoft, Yahoo et d'autres. La modification des enregistrements DNS des noms de domaine concernés indique une possible violation de la sécurité des registraires.

Attaque DNS en Pologne et au Pakistan contre Google, Microsoft et Yahoo

Les noms de domaine roumains de Google, Yahoo, Microsoft, Kaspersky Lab et d'autres ont été détournés et redirigés vers un serveur pirate localisé aux Pays-Bas. Selon Costin Raiu, directeur de la recherche et patron de l'équipe d'analystes chez Kaspersky Lab, « le détournement a eu lieu au niveau du DNS (Domain Name System) lui-même, les attaquants ayant réussi à modifier les enregistrements DNS pour google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro et paypal.ro ».

Du coup, les sites web ont affiché une page différente de la page web habituelle. L'attaque, qualifiée de dégradation de site Internet et parfois de « barbouillage », est connue. Selon la page de substitution, elle est le fait d'un pirate algérien identifié sous le pseudonyme de MCA-CRB. Celui-ci a également posté des captures d'écran des sites défigurés sur Zone-H.org qui répertorie les sites web dégradés. Selon Bogdan Botezatu, analyste senior spécialisé dans les e-menaces chez le vendeur de solutions antivirus roumain Bitdefender, « le pirate a fait pointer les domaines vers un serveur situé aux Pays-Bas - server1.joomlapartner.nl - qui semble aussi avoir été piraté ». Celui-ci pense que les enregistrements DNS ont été modifiés après une intrusion dans les systèmes du registraire de domaine RoTLD, qui gère les serveurs DNS faisant autorité pour la totalité du domaine .ro.

L'Institut national de recherche et de développement en informatique roumain, qui gère le registre RoTLD, n'a pas répondu à une demande de commentaire. « Il est possible que le domaine Internet de premier niveau RoTLD utilisé par les propriétaires du nom de domaine .ro pour administrer leurs domaines ou que les serveurs DNS du registraire aient été piratés », a déclaré Costin Raiu.

« Le compte RoTLD de Kaspersky Lab utilisé pour administrer kaspersky.ro - l'un des noms de domaine concernés - n'a pas lancé d'alertes, ni montré de signes évidents de piratage », a-t-il ajouté. « Cependant, cela n'exclut pas que des pirates aient pu avoir directement accès au compte administrateur RoTLD », a-t-il expliqué. « Kaspersky a déposé une plainte officielle auprès du registraire RoTLD », a encore ajouté Costin Raiu.

Deux types d'attaques utilisées

Dans un blog, les chercheurs de Kaspersky ont évoqué une autre attaque « dite par empoisonnement de cache DNS ». Des pirates ont inséré de faux enregistrements DNS dans les serveurs du résolveur de DNS public - 8.8.8.8 et 8.8.4.4 - de Google. Tous les utilisateurs roumains ont été touchés par l'attaque. « En fait, les serveurs du résolveur de DNS de plusieurs fournisseurs de services Internet roumains n'ont pas repéré ces données corrompues », a expliqué Costin Raiu. La défaillance peut aussi venir des différences dans les temps de mise en cache. Il se peut que les serveurs DNS publics de Google arrivent à actualiser les enregistrements DNS, après un passage par les serveurs DNS faisant autorité comme RoTLD, plus rapidement que les résolveurs DNS de certains FAI.

«Les services de Google en Roumanie (...)


«Les services de Google en Roumanie n'ont pas été piratés », a déclaré un représentant du géant de l'Internet mercredi par mail. Mais il a confirmé que « pendant un court laps de temps, l'adresse www.google.ro et quelques autres adresses web ont pointé vers un site différent ». Le responsable de Google a également indiqué que Google était en contact avec l'organisme chargé de la gestion des noms de domaine en Roumanie. Une porte-parole de Yahoo a également confirmé par courriel que le fournisseur était informé que yahoo.ro était inaccessible à certains utilisateurs en Roumanie, mais que « le problème était résolu ». Microsoft n'a pas immédiatement répondu à une demande de commentaire. Enfin, on ne sait pas avec certitude si le nom de domaine paypal.ro est propriété de PayPal. Ce dernier n'a pas répondu à une demande de commentaire pour donner des éclaircissements sur cette question.

Une première vague d'attaques au Pakistan

L'attaque menée en Roumanie fait suite à une autre attaque similaire qui a eu lieu la semaine dernière au Pakistan, affectant les domaines en .pk de Google, Microsoft, Yahoo, Paypal et autres. Cette fois, c'est le registraire PKNIC qui gère les noms de domaine .pk qui a été compromis. « PKNIC a identifié une vulnérabilité dans l'un de ses systèmes, laquelle a permis l'usurpation de quatre comptes utilisateurs le 23 novembre, avec des conséquences sur neuf enregistrements DNS, sur un total de 50 000 environ », a déclaré le registrary dans un communiqué publié sur son site.

« Pendant quelques heures,(...)

« Pendant quelques heures, plusieurs sites web ont été redirigés vers une page affichant un message en turc. Presque tous ces sites sont des miroirs de sites mondiaux comme google.pk, microsoft.pk, ou des espaces d'hébergement de grandes marques internationales qui n'ont pas vraiment d'activité au Pakistan, comme paypal.pk par exemple. » Bogdan Botezatu pense que les pirates qui ont détourné les DNS des noms de domaines roumains mercredi sont les mêmes que ceux qui ont mené cette action au Pakistan la semaine dernière.

Les attaques contre les registraires locaux de noms de domaines de premier niveau (ccTLD) sont, semble-t-il en augmentation. En octobre, des pirates ont réussi à modifier les enregistrements NS de plusieurs noms de domaine irlandais, dont Google.ie et Yahoo.ie. Le 9 novembre, le registraire de domaine irlandais IE Domain Registry (IEDR) a fait savoir dans une déclaration que des pirates étaient parvenus à exploiter une vulnérabilité dans son site web.

Déjà piraté en février, Sony Pictures s'est encore fait prendre

Tout ce qu'il ne faut pas faire en matière de cyber-sécurité, Sony l'a fait et a même récidivé. Les consé-quences sont incalculables, en termes d'images, pour les dirigeants, et pour leurs projets. Piraté au mo...

le 15/12/2014, par Ms Smith, Network World, 490 mots

SDN : les RSSI devraient peser davantage sur les projets

Les responsables de la sécurité doivent devenir davantage proactifs et influents dans la planification du SDN, son déploiement et sa stratégie. Les équipes réseau sont en première ligne mais les professionnels ...

le 08/12/2014, par John Oltsik CSO ESG, 383 mots

Verizon met l'accent sur la sécurité et lance une market place cloud

Les opérateurs télécoms se mettent à leur tour à parler de digitalisation des entreprises et à s'adresser aux DSI. Ils s'estiment aussi bien placés que les acteurs de l'informatique avec leurs réseaux et leurs ...

le 02/12/2014, par Didier Barathon, 414 mots

Dernier dossier

Le software-defined security (SDS) convient aux environnements virtualisés

Avec le SDS (software-defined security), la détection d'intrusion, la segmentation du réseau, les contrôles d'accès sont automatisés et contrôlés par le logiciel. Le SDS convient plus particulièrement aux environnements informatiques dépendants du cloud computing et des infrastructures virtualisées. Il prend en compte chaque nouveauté dans l'enviro...

Dernier entretien

Dan Pitt

directeur exécutif de l'ONF, Open Networking Foundation

« Nous nous sentons la responsabilité de conduire l'ensemble du mouvement SDN »