L’Internet Corporation for Assigned Names and Numbers ou ICANN a récemment été victime de phishing. L’attaque s’est produite fin novembre 2014.
Les mots de passe exfiltrés par hameçonnage
Via un communiqué, l’autorité de régulation d’Internet gérant les noms de domaine de premier niveau (Internet Corporation for Assigned Names and Numbers) a annoncé avoir été victime de phishing. L’opération d’hameçonnage ciblé a été lancée fin novembre et une technique déjà bien connue semble avoir été utilisée par les pirates. Des courriels ont en effet été envoyés aux membres du personnel pour obtenir les identifiants et mots de passe de leurs comptes de messagerie. Ce n’est toutefois que début décembre que l’ICANN découvre l’utilisation de mots de passe piratés pour accéder à différents services : le CZDS (service centralisé de données de zone) et la page Wiki consacrée au Governmental Advisory Comitee. Grâce aux droits d’administrateurs exfiltrés, les pirates ont eu accès à l’ensemble des fichiers dans le service centralisé de données de zone.
C’est là que toutes les entités intéressées ont accès aux fichiers de zone fournis par les Top Level Domain. Ces fichiers rassemblent les informations relatives aux noms de domaines ainsi que les noms et adresses IP de serveurs. L’ICANN utilise cependant aussi le service centralisé de données de zone pour conserver les données personnelles de ses utilisateurs. Les pirates ont ainsi eu accès aux noms, adresses, email, numéros de téléphone, numéros de fax, identifiants et mots de passe de ces derniers. Bien que ces informations sont normalement sécurisées, l’ICANN annonce les avoir désactivés pour prévenir tous risques. Elle recommande d’ailleurs à ses utilisateurs de demander de nouveaux mots de passe et d’en faire de même avec les autres comptes utilisant les mêmes mots de passe.
De nouveaux dispositifs de sécurité vont être déployés
Dans la page Wiki du Governmental Advisory Comitee, les informations consultées par les pirates ont pu être identifiées par l’ICANN. Il s’agit de la page d’index destinée aux membres, de la page d’informations publiques ainsi que d’une page de profil d’utilisateurs. Il semble que les pirates n’ont pas eu accès à d’autres contenus privés. Néanmoins, l’Internet Corporation for Assigned Names and Numbers révèle qu’un accès non autorisé s’est produit sur son blog ainsi que sur le portail d’information whois.icann.org qui est le WHOIS de l’entité. L’incident n’a heureusement eu aucun impact grave sur le système puisque les pirates n’ont vraisemblablement volé aucune information.
Dès la découverte du phishing, l’ICANN a rapidement effectué des recherches et analyses. Il s’avère qu’aucun système, mis à part ceux cités précédemment, n’a été compromis d’après les premiers résultats. L’attaque n’a également pas affecté les systèmes liés à l’Internet Assigned Numbers Authority. L’ICANN a toutefois tenu à rappeler qu’elle avait mis en place un programme visant à renforcer la sécurité des données au sein de ses différents systèmes. C’est selon elle ce qui a permis de limiter l’accès des pirates aux informations sensibles. Pour autant, le régulateur a d’ores et déjà annoncé le déploiement de dispositifs de sécurité supplémentaires pour prévenir les futures attaques.
1 comments