L’Internet Corporation for Assigned Names and Numbers (ICANN) a annoncé avoir constaté une intrusion dans ses systèmes. L’attaquant aurait obtenu l’accès avec droits d’administrateur au service centralisé de données de zone.
Décidément, les cybercriminels ne ratent pas une occasion de pirater une cible, même en cette fin d’année. Cette fois ci, c’est l’ICANN, l’autorité de régulation qui administre les noms de domaines de premier niveau (.com, .org, .fr ou .de, par exemple) ainsi que l’attribution des adresses IP à l’échelle mondiale qui a été visée. Bilan de l’intrusion dans ses systèmes, l’attaquant aurait obtenu l’accès avec droits d’administrateur au service centralisé de données de zone, et a pu compromettre une multitude de données personnelles. L’information a été relayée officiellement.
Le pirate informatique a utilisé la technique du spear-phishing (phishing ciblé) afin de cibler certaines messageries de salariés, en usurpant l’identité de contacts dans le but d’introduire un malware sur les systèmes internes. Une fois en possession des divers identifiants, l’intrus a obtenu l’accès aux droits administrateur à tous les fichiers du CZDS, litérallement « centralized zone data system », le service centralisé de données de zone. Dans ce système, il a pu consulter les données personnelles des utilisateurs, de leur nom à leur mot de passe en passant par leur adresse, leur numéro de téléphone ou même de fax. L’ICANN précise que les mots de passe étaient sécurisés par hachage et salage, mais qu’il a néanmoins été décidé de les désactiver, “par précaution“. Les utilisateurs concernés ont par ailleurs été contactés afin de les inciter à changer tous les mots de passe susceptibles d’être compromis :
«L’attaquant a obtenu l’accès avec droits d’administrateur à tous les fichiers du CZDS. Cela inclut des copies des fichiers de zone du système, ainsi que des informations saisies par les utilisateurs tels que leur nom, leur adresse postale, leur adresse de courrier électronique, leur numéro de téléphone ou de fax, leur nom d’utilisateur et leur mot de passe. Bien que les mots de passe CZDS stockés soient sécurisés […], nous les avons désactivés par précaution.»
Outre cette intrusion dans le système de l’autorité de régulation, l’attaquant s’est aussi servi des mots de passe dérobés pour accéder à trois pages du Wiki de l’ICANN consacrée au GAC (Governmental Advisory Committee), au blog de l’organisme ainsi qu’à son portail WHOIS. Les conséquences semblent donc minimes, d’autant que “les recherches menées à ce jour montrent qu’aucun autre système n’a été compromis” — ce qui tend à confirmer que cette attaque n’a pas eu d’impact sur les systèmes liés à l’IANA, l’organe chargé de l’attribution des adresses IP.
L’Icann affirme que les mots de passe exposés ne présentent aucun risque dans la mesure où ils sont chiffrés, mais a néanmoins changé ces derniers, appelant quiconque figurant dans le système CZDS à suivre leurs données et à prendre des précautions.
Reste à voir que ce piratage est inquiétant : comment un intrus peut compromettre une telle organisation si facilement via de simples mails ? Espérons que l’ICANN améliorera une énième fois ses systèmes de protection…