Attaque DNS en Pologne et au Pakistan contre Google, Microsoft et Yahoo - Actualités RT Sécurité

Attaque DNS en Pologne et au Pakistan contre Google, Microsoft et Yahoo

le 29/11/2012, par Jean Elyan avec IDG News Service, Sécurité, 914 mots

Des pirates ont détourné les domaines .ro et .pk de Google, Microsoft, Yahoo et d'autres. La modification des enregistrements DNS des noms de domaine concernés indique une possible violation de la sécurité des registraires.

Attaque DNS en Pologne et au Pakistan contre Google, Microsoft et Yahoo

Les noms de domaine roumains de Google, Yahoo, Microsoft, Kaspersky Lab et d'autres ont été détournés et redirigés vers un serveur pirate localisé aux Pays-Bas. Selon Costin Raiu, directeur de la recherche et patron de l'équipe d'analystes chez Kaspersky Lab, « le détournement a eu lieu au niveau du DNS (Domain Name System) lui-même, les attaquants ayant réussi à modifier les enregistrements DNS pour google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro et paypal.ro ».

Du coup, les sites web ont affiché une page différente de la page web habituelle. L'attaque, qualifiée de dégradation de site Internet et parfois de « barbouillage », est connue. Selon la page de substitution, elle est le fait d'un pirate algérien identifié sous le pseudonyme de MCA-CRB. Celui-ci a également posté des captures d'écran des sites défigurés sur Zone-H.org qui répertorie les sites web dégradés. Selon Bogdan Botezatu, analyste senior spécialisé dans les e-menaces chez le vendeur de solutions antivirus roumain Bitdefender, « le pirate a fait pointer les domaines vers un serveur situé aux Pays-Bas - server1.joomlapartner.nl - qui semble aussi avoir été piraté ». Celui-ci pense que les enregistrements DNS ont été modifiés après une intrusion dans les systèmes du registraire de domaine RoTLD, qui gère les serveurs DNS faisant autorité pour la totalité du domaine .ro.

L'Institut national de recherche et de développement en informatique roumain, qui gère le registre RoTLD, n'a pas répondu à une demande de commentaire. « Il est possible que le domaine Internet de premier niveau RoTLD utilisé par les propriétaires du nom de domaine .ro pour administrer leurs domaines ou que les serveurs DNS du registraire aient été piratés », a déclaré Costin Raiu.

« Le compte RoTLD de Kaspersky Lab utilisé pour administrer kaspersky.ro - l'un des noms de domaine concernés - n'a pas lancé d'alertes, ni montré de signes évidents de piratage », a-t-il ajouté. « Cependant, cela n'exclut pas que des pirates aient pu avoir directement accès au compte administrateur RoTLD », a-t-il expliqué. « Kaspersky a déposé une plainte officielle auprès du registraire RoTLD », a encore ajouté Costin Raiu.

Deux types d'attaques utilisées

Dans un blog, les chercheurs de Kaspersky ont évoqué une autre attaque « dite par empoisonnement de cache DNS ». Des pirates ont inséré de faux enregistrements DNS dans les serveurs du résolveur de DNS public - 8.8.8.8 et 8.8.4.4 - de Google. Tous les utilisateurs roumains ont été touchés par l'attaque. « En fait, les serveurs du résolveur de DNS de plusieurs fournisseurs de services Internet roumains n'ont pas repéré ces données corrompues », a expliqué Costin Raiu. La défaillance peut aussi venir des différences dans les temps de mise en cache. Il se peut que les serveurs DNS publics de Google arrivent à actualiser les enregistrements DNS, après un passage par les serveurs DNS faisant autorité comme RoTLD, plus rapidement que les résolveurs DNS de certains FAI.

«Les services de Google en Roumanie (...)


«Les services de Google en Roumanie n'ont pas été piratés », a déclaré un représentant du géant de l'Internet mercredi par mail. Mais il a confirmé que « pendant un court laps de temps, l'adresse www.google.ro et quelques autres adresses web ont pointé vers un site différent ». Le responsable de Google a également indiqué que Google était en contact avec l'organisme chargé de la gestion des noms de domaine en Roumanie. Une porte-parole de Yahoo a également confirmé par courriel que le fournisseur était informé que yahoo.ro était inaccessible à certains utilisateurs en Roumanie, mais que « le problème était résolu ». Microsoft n'a pas immédiatement répondu à une demande de commentaire. Enfin, on ne sait pas avec certitude si le nom de domaine paypal.ro est propriété de PayPal. Ce dernier n'a pas répondu à une demande de commentaire pour donner des éclaircissements sur cette question.

Une première vague d'attaques au Pakistan

L'attaque menée en Roumanie fait suite à une autre attaque similaire qui a eu lieu la semaine dernière au Pakistan, affectant les domaines en .pk de Google, Microsoft, Yahoo, Paypal et autres. Cette fois, c'est le registraire PKNIC qui gère les noms de domaine .pk qui a été compromis. « PKNIC a identifié une vulnérabilité dans l'un de ses systèmes, laquelle a permis l'usurpation de quatre comptes utilisateurs le 23 novembre, avec des conséquences sur neuf enregistrements DNS, sur un total de 50 000 environ », a déclaré le registrary dans un communiqué publié sur son site.

« Pendant quelques heures,(...)

« Pendant quelques heures, plusieurs sites web ont été redirigés vers une page affichant un message en turc. Presque tous ces sites sont des miroirs de sites mondiaux comme google.pk, microsoft.pk, ou des espaces d'hébergement de grandes marques internationales qui n'ont pas vraiment d'activité au Pakistan, comme paypal.pk par exemple. » Bogdan Botezatu pense que les pirates qui ont détourné les DNS des noms de domaines roumains mercredi sont les mêmes que ceux qui ont mené cette action au Pakistan la semaine dernière.

Les attaques contre les registraires locaux de noms de domaines de premier niveau (ccTLD) sont, semble-t-il en augmentation. En octobre, des pirates ont réussi à modifier les enregistrements NS de plusieurs noms de domaine irlandais, dont Google.ie et Yahoo.ie. Le 9 novembre, le registraire de domaine irlandais IE Domain Registry (IEDR) a fait savoir dans une déclaration que des pirates étaient parvenus à exploiter une vulnérabilité dans son site web.

iOS 9 contourné par des hackers passant par le MDM

Selon une étude signée CheckPoint, des hackers contournent les restrictions pour le déploiement d'applications d'entreprise introduites dans iOS 9. Ils peuvent abuser du protocole de gestion des périphériques...

le 01/04/2016, par Lucian Constantin / IDG News Service (adapté par Didier Barathon), 443 mots

IBM lance sa plate-forme analytique de sécurité, QRadar, complétée...

Le marché de la cybersécurité dans le monde devrait passer de 77 milliards de dollars en 2015 à 170 milliards de dollars d'ici 2020. Les différents fournisseurs devront se partager 100 milliards de dollars au...

le 10/12/2015, par par Chris Player, IDG NS, et Steve Morgan, CSO, 531 mots

Trop de terminaux embarqués n'ont pas de dispositifs de sécurité

Un grand test de sécurité mené par Eurecom et une Université allemande a permis de découvrir facilement des milliers de vulnérabilités sur des terminaux embarqués. Visiblement, les fabricants n'ont pas ou pas...

le 23/11/2015, par Lucian Constantin, IDG NS, 668 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »