Attaque DNS en Pologne et au Pakistan contre Google, Microsoft et Yahoo

le 29/11/2012, par Jean Elyan avec IDG News Service, Sécurité, 914 mots

Des pirates ont détourné les domaines .ro et .pk de Google, Microsoft, Yahoo et d'autres. La modification des enregistrements DNS des noms de domaine concernés indique une possible violation de la sécurité des registraires.

Attaque DNS en Pologne et au Pakistan contre Google, Microsoft et Yahoo

Les noms de domaine roumains de Google, Yahoo, Microsoft, Kaspersky Lab et d'autres ont été détournés et redirigés vers un serveur pirate localisé aux Pays-Bas. Selon Costin Raiu, directeur de la recherche et patron de l'équipe d'analystes chez Kaspersky Lab, « le détournement a eu lieu au niveau du DNS (Domain Name System) lui-même, les attaquants ayant réussi à modifier les enregistrements DNS pour google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro et paypal.ro ».

Du coup, les sites web ont affiché une page différente de la page web habituelle. L'attaque, qualifiée de dégradation de site Internet et parfois de « barbouillage », est connue. Selon la page de substitution, elle est le fait d'un pirate algérien identifié sous le pseudonyme de MCA-CRB. Celui-ci a également posté des captures d'écran des sites défigurés sur Zone-H.org qui répertorie les sites web dégradés. Selon Bogdan Botezatu, analyste senior spécialisé dans les e-menaces chez le vendeur de solutions antivirus roumain Bitdefender, « le pirate a fait pointer les domaines vers un serveur situé aux Pays-Bas - server1.joomlapartner.nl - qui semble aussi avoir été piraté ». Celui-ci pense que les enregistrements DNS ont été modifiés après une intrusion dans les systèmes du registraire de domaine RoTLD, qui gère les serveurs DNS faisant autorité pour la totalité du domaine .ro.

L'Institut national de recherche et de développement en informatique roumain, qui gère le registre RoTLD, n'a pas répondu à une demande de commentaire. « Il est possible que le domaine Internet de premier niveau RoTLD utilisé par les propriétaires du nom de domaine .ro pour administrer leurs domaines ou que les serveurs DNS du registraire aient été piratés », a déclaré Costin Raiu.

« Le compte RoTLD de Kaspersky Lab utilisé pour administrer kaspersky.ro - l'un des noms de domaine concernés - n'a pas lancé d'alertes, ni montré de signes évidents de piratage », a-t-il ajouté. « Cependant, cela n'exclut pas que des pirates aient pu avoir directement accès au compte administrateur RoTLD », a-t-il expliqué. « Kaspersky a déposé une plainte officielle auprès du registraire RoTLD », a encore ajouté Costin Raiu.

Deux types d'attaques utilisées

Dans un blog, les chercheurs de Kaspersky ont évoqué une autre attaque « dite par empoisonnement de cache DNS ». Des pirates ont inséré de faux enregistrements DNS dans les serveurs du résolveur de DNS public - 8.8.8.8 et 8.8.4.4 - de Google. Tous les utilisateurs roumains ont été touchés par l'attaque. « En fait, les serveurs du résolveur de DNS de plusieurs fournisseurs de services Internet roumains n'ont pas repéré ces données corrompues », a expliqué Costin Raiu. La défaillance peut aussi venir des différences dans les temps de mise en cache. Il se peut que les serveurs DNS publics de Google arrivent à actualiser les enregistrements DNS, après un passage par les serveurs DNS faisant autorité comme RoTLD, plus rapidement que les résolveurs DNS de certains FAI.

«Les services de Google en Roumanie (...)


«Les services de Google en Roumanie n'ont pas été piratés », a déclaré un représentant du géant de l'Internet mercredi par mail. Mais il a confirmé que « pendant un court laps de temps, l'adresse www.google.ro et quelques autres adresses web ont pointé vers un site différent ». Le responsable de Google a également indiqué que Google était en contact avec l'organisme chargé de la gestion des noms de domaine en Roumanie. Une porte-parole de Yahoo a également confirmé par courriel que le fournisseur était informé que yahoo.ro était inaccessible à certains utilisateurs en Roumanie, mais que « le problème était résolu ». Microsoft n'a pas immédiatement répondu à une demande de commentaire. Enfin, on ne sait pas avec certitude si le nom de domaine paypal.ro est propriété de PayPal. Ce dernier n'a pas répondu à une demande de commentaire pour donner des éclaircissements sur cette question.

Une première vague d'attaques au Pakistan

L'attaque menée en Roumanie fait suite à une autre attaque similaire qui a eu lieu la semaine dernière au Pakistan, affectant les domaines en .pk de Google, Microsoft, Yahoo, Paypal et autres. Cette fois, c'est le registraire PKNIC qui gère les noms de domaine .pk qui a été compromis. « PKNIC a identifié une vulnérabilité dans l'un de ses systèmes, laquelle a permis l'usurpation de quatre comptes utilisateurs le 23 novembre, avec des conséquences sur neuf enregistrements DNS, sur un total de 50 000 environ », a déclaré le registrary dans un communiqué publié sur son site.

« Pendant quelques heures,(...)

« Pendant quelques heures, plusieurs sites web ont été redirigés vers une page affichant un message en turc. Presque tous ces sites sont des miroirs de sites mondiaux comme google.pk, microsoft.pk, ou des espaces d'hébergement de grandes marques internationales qui n'ont pas vraiment d'activité au Pakistan, comme paypal.pk par exemple. » Bogdan Botezatu pense que les pirates qui ont détourné les DNS des noms de domaines roumains mercredi sont les mêmes que ceux qui ont mené cette action au Pakistan la semaine dernière.

Les attaques contre les registraires locaux de noms de domaines de premier niveau (ccTLD) sont, semble-t-il en augmentation. En octobre, des pirates ont réussi à modifier les enregistrements NS de plusieurs noms de domaine irlandais, dont Google.ie et Yahoo.ie. Le 9 novembre, le registraire de domaine irlandais IE Domain Registry (IEDR) a fait savoir dans une déclaration que des pirates étaient parvenus à exploiter une vulnérabilité dans son site web.

Heartbleed touche au coeur de nombreux produits de Cisco et de Juniper

Tout le monde est concerné par Heartbleed, devenue la plus grande faille de sécurité de l'histoire d'Internet. Fabricants de serveurs, navigateurs, équipementiers livrent tour à tour leurs avis et leurs parades...

le 16/04/2014, par Jean-Pierre Soules avec IDG NS, 576 mots

Edward Snowden n'est pas un héros, c'est une menace pour les entrepris...

Célébré sur toute la planète, Edward Snowden est pourtant considéré dans son pays comme un criminel. De ceux qui enfreignent les règles internes, celles d'un service de renseignement dont les règles sont pourta...

le 15/04/2014, par Ira Winkler, CSO, adaptation Didier Barathon, 619 mots

80% des vulnérabilités sur les Apps sont de notre faute

HP a publié son rapport Cyber Risk 2013. Pour lui, les risques de sécurité résultent davantage d'erreurs de configurations plutôt que de failles dans l'application elle-même. Soyons clairs, il  n'existe pas de ...

le 14/04/2014, par Tony Bradley, adaptation Didier Barathon, 526 mots

Dernier dossier

Spécial Mobile World Congress 2014

De la masse d'informations disponibles sur le Mobile World Congress (MWC) 2014 à Barcelone, nous avons extrait une synthèse en prenant comme angle les informations destinées aux clients entreprises, aux architectures réseaux, à la gestion des flottes mobiles et à leur sécurité. Un dossier réalisé avec la rédaction d'IDG News Service. Réseaux & ...

Dernier entretien

Erwan le Duff

Directeur de la division télécoms et média Europe et coordonateur monde du secteur télécoms de Capgemini

« Capgemini commercialise une version de Joyn conçue avec Orange »