Quand l'ICANN elle-même s'est fait hameçonner : la violation par spear-phishing de 2014 au cœur d'Internet
Fin 2014, l'ICANN — l'organisme qui coordonne le système de noms de domaine Internet — a reconnu qu'un courriel de spear-phishing usurpant son propre domaine avait récolté les identifiants de membres du personnel et accordé aux attaquants un accès administrateur au Centralized Zone Data System. Une analyse approfondie de Domain Mayday sur la façon dont l'autorité DNS elle-même s'est fait hameçonner, ce qui a été exposé et pourquoi cela compte encore aujourd'hui.
- domains
- security
- dns
- domain-security
Il existe un type particulier de titre qui fait marquer une pause à toute l'industrie de la sécurité. Pas « encore un détaillant compromis », pas « encore une startup qui fuite une base de données » — mais le jour où l'institution à laquelle tout le monde else fait confiance reconnaît s'être fait pirater de la façon la plus banale qui soit.
En décembre 2014, cette institution était l'ICANN. L'Internet Corporation for Assigned Names and Numbers — l'organisation à but non lucratif qui coordonne l'ensemble du système de noms de domaine, gardienne des règles permettant à namefi.io, google.com et toutes les autres adresses du monde de pointer vers un serveur — a divulgué que certains membres de son personnel avaient cliqué sur un lien dans un faux courriel, saisi leurs mots de passe dans une fausse page de connexion, et remis aux attaquants les clés de systèmes internes — dont le Centralized Zone Data System (CZDS), le dépôt par lequel les fichiers de zone des domaines de premier niveau sont demandés et consultés.
L'organisation qui définit le fonctionnement de la confiance sur Internet s'est fait hameçonner. Avec un courriel usurpé. Prétendant être l'ICANN.
Voici l'EP11 de Domain Mayday — et c'est l'épisode où l'appel provient de l'intérieur de la maison.
Ce qu'est l'ICANN, et pourquoi une violation là-bas est symbolique
Pour comprendre pourquoi cette histoire a eu un tel impact, il faut comprendre ce que fait réellement l'ICANN.
L'ICANN n'est pas une entreprise auprès de laquelle vous achetez un domaine. Elle se situe une couche au-dessus. Elle coordonne le système mondial d'identifiants uniques qui rend Internet navigable : les domaines de premier niveau (.com, .org, .io, et les centaines de nouveaux), les règles que suivent registres et bureaux d'enregistrement, et — via sa fonction IANA — le sommet même de la hiérarchie DNS, la zone racine dont dépend en dernière instance chaque requête DNS.
Si les domaines sont les adresses d'Internet, l'ICANN gère le répertoire principal de la poste. Une violation chez un bureau d'enregistrement est grave. Une violation à l'ICANN est symbolique, car l'ICANN est censée être l'autorité — la seule institution dont la mission est de maintenir le système de nommage ordonné et fiable. Quand l'autorité sur les noms Internet est compromise, la question inconfortable s'impose d'elle-même : si eux peuvent se faire hameçonner, qui ne peut pas l'être ?
Fin 2014 : la compromission
L'ICANN a exposé la chronologie des faits dans son propre communiqué public, publié le 16 décembre 2014, avec une franchise admirable : « Nous pensons qu'une attaque de "spear phishing" a été lancée fin novembre 2014. »
Les mécanismes étaient d'une simplicité presque insultante. Comme l'ICANN le décrit, l'attaque « impliquait des messages électroniques conçus pour paraître provenir de notre propre domaine et envoyés à des membres de notre personnel ». Le personnel recevait des courriels qui semblaient provenir de icann.org — de l'intérieur même de l'ICANN. Certains ont cliqué. Comme The Register l'a reconstitué, les employés « ont cliqué sur un lien dans les messages qui les a conduits vers une fausse page de connexion — dans laquelle le personnel a saisi ses noms d'utilisateur et mots de passe », remettant aux attaquants leurs identifiants de messagerie professionnelle. Le verdict laconique de The Register sur la défense absente : « Aucun signe d'authentification à deux facteurs, donc. »
Le résultat, dans les propres termes de l'ICANN : « L'attaque a entraîné la compromission des identifiants de messagerie de plusieurs membres du personnel de l'ICANN. » Help Net Security l'a formulé encore plus clairement : « Plusieurs membres du personnel ont été dupés et ont remis leurs identifiants de messagerie » aux attaquants.
Aucune faille zero-day. Aucun logiciel malveillant exotique. Un courriel convaincant et une fausse page de connexion — la plus vieille astuce d'Internet, utilisée contre ceux qui contribuent à faire fonctionner Internet.
Ce qui a été accédé : le système de données de zone au centre
Les identifiants de messagerie volés sont déjà graves en eux-mêmes. Ce qui fait de cette violation un épisode de Domain Mayday, c'est ce à quoi les attaquants ont accédé avec eux.
Début décembre 2014, l'ICANN a découvert que les identifiants compromis avaient été réutilisés pour pénétrer dans d'autres systèmes. Le plus grave était le Centralized Zone Data System — CZDS, la plateforme où les parties autorisées demandent et téléchargent les fichiers de zone des domaines génériques de premier niveau. La divulgation de l'ICANN est limpide : « L'attaquant a obtenu un accès administrateur à tous les fichiers du CZDS. »
Accès administrateur. À tous les fichiers. The Register a expliqué pourquoi cela importe : le CZDS « donne aux parties autorisées accès à tous les fichiers de zone des domaines génériques de premier niveau du monde ». Les utilisateurs du système ne sont pas des personnes ordinaires — ce sont, comme The Register l'a noté, « de nombreux administrateurs des registres et bureaux d'enregistrement mondiaux ». Les attaquants ne se sont pas contentés d'entrer dans une base de données ; ils sont entrés dans la base de données à laquelle se connectent les gardiens du système de nommage eux-mêmes.
Au-delà des fichiers de zone, la violation a exposé les données personnelles enregistrées par les utilisateurs du CZDS. Selon l'ICANN, le butin « comprenait des copies des fichiers de zone du système, ainsi que des informations saisies par les utilisateurs comme le nom, l'adresse postale, l'adresse électronique, le numéro de fax et de téléphone, le nom d'utilisateur et le mot de passe ». Noms d'utilisateur et mots de passe des personnes qui gèrent les TLD — conservés dans un système dans lequel un attaquant avait pénétré avec un badge volé.
Les identifiants ont permis d'aller encore plus loin. L'ICANN a confirmé que les attaquants avaient également touché le GAC Wiki (l'espace du Comité consultatif gouvernemental), le Blog ICANN, et le portail d'information WHOIS, bien qu'elle ait signalé aucun impact sur ces deux derniers systèmes et seulement une consultation limitée sur le wiki.
Comment c'est arrivé : le badge marqué « ICANN »
Enlevez les couches techniques et l'attaque est un tour de passe-passe.
Le spear phishing diffère du phishing ordinaire par sa précision. Ce ne sont pas un million de courriels indésirables dans l'espoir que quelqu'un morde ; c'est un petit nombre de messages soigneusement adaptés, ciblant des personnes précises, conçus pour ressembler à un trafic interne routinier. Ici, le déguisement était le plus fort possible : le courriel semblait provenir de icann.org. Comme The Register l'a résumé, « Les attaquants ont envoyé au personnel des courriels usurpés semblant provenir de icann.org. »
Pensez à la psychologie. Un courriel provenant du domaine de votre propre organisation ne déclenche pas d'alarmes. Une page de connexion qui ressemble à celle que vous utilisez tous les jours non plus. Toute l'attaque exploitait le fait que interne et familier semblent équivaloir à sûr — et ce n'est pas la même chose. La barre d'adresse disait une chose ; la page derrière elle récoltait tout ce qui y était saisi.
La seule véritable mesure d'atténuation de l'ICANN concernait le stockage : les mots de passe volés n'étaient pas en texte clair. Comme l'indique la divulgation, « les mots de passe étaient stockés sous forme de hachages cryptographiques salés » — mieux que l'alternative, mais, comme The Register l'a souligné, la protection ne tient que si les utilisateurs ne réutilisaient pas ces mêmes identifiants ailleurs, car les hachages pouvaient toujours être cassés hors ligne. La violation ne s'est pas terminée avec le téléchargement ; elle a lancé une lente course entre les défenseurs qui changeaient les mots de passe et les attaquants qui tentaient de les déchiffrer.
Réponse et conséquences
À son crédit, l'ICANN a mieux géré la divulgation que la violation elle-même.
Elle a rendu l'information publique en quelques semaines, désactivé les mots de passe du CZDS, notifié les utilisateurs concernés et — fait notable — a présenté la transparence comme un devoir plutôt que comme une responsabilité. L'organisation a déclaré qu'elle « fournissait des informations sur cet incident publiquement, non seulement en raison de son engagement envers l'ouverture et la transparence, mais aussi parce que le partage d'informations sur la cybersécurité aide toutes les parties à évaluer les menaces pesant sur leurs systèmes ». Elle a également indiqué qu'un programme d'amélioration de la sécurité entamé plus tôt cette année-là avait « contribué à limiter l'accès non autorisé obtenu lors de l'attaque ».
La ligne la plus importante pour l'internet dans son ensemble était celle concernant ce qui n'avait pas cédé. L'ICANN a confirmé : « cette attaque n'a pas d'impact sur les systèmes liés à l'IANA ». L'IANA — comme Help Net Security la décrit, la fonction qui « gère la zone racine dans le Système de Noms de Domaine (DNS) » — est le véritable sommet de la pyramide de nommage d'Internet. Si les attaquants l'avaient atteinte, cela n'aurait pas été une violation de données embarrassante ; cela aurait été une urgence structurelle.
Le moment choisi a rendu l'embarras encore plus grand. Le titre de The Register l'a formulé sans détour : le « moment de l'attaque de spear-phishing ne pouvait pas être pire pour le régulateur des noms de domaine ». Pourquoi ? Parce que l'ICANN « espère se voir confier le contrôle du contrat critique de l'IANA l'année prochaine » — la transition de tutelle alors en cours de négociation. Se faire hameçonner est une mauvaise audition pour « faites-nous confiance avec le cœur du DNS ». (Pour le contexte, ce n'était d'ailleurs pas le premier incident impliquant le CZDS de l'ICANN en 2014 : The Register avait noté un incident antérieur en avril au cours duquel « un certain nombre d'utilisateurs s'étaient vu accorder par erreur un accès administrateur au système ».)
Et les données ont eu une longue vie après. Dans une mise à jour du 21 février 2017 annexée à son propre communiqué, l'ICANN a reconnu que des informations issues de la violation refaisaient surface : « certaines informations obtenues lors de l'incident de spear phishing que nous avons annoncé en 2014 sont proposées à la vente sur des forums clandestins ». CyberScoop a rapporté le prix pratiqué des années après : « les données circulent encore et se vendent sur des marchés noirs pour 300 $ », accompagnées de prétentions selon lesquelles elles n'auraient jamais fuité auparavant. Un seul clic fin 2014 générait encore des ventes en 2017.
Ce que cela enseigne : tout le monde peut être hameçonné, même l'autorité DNS
La leçon de l'EP11 n'est pas « l'ICANN était négligente ». C'est quelque chose de plus humiliant.
Tout le monde peut être hameçonné. Pas seulement les imprudents. Pas seulement les non-formés. Tout le monde. L'organisation qui gouverne littéralement les noms Internet — composée de personnes qui réfléchissent au DNS, à la sécurité et aux infrastructures à titre professionnel — a quand même eu plusieurs employés qui ont saisi leurs identifiants dans une fausse page parce que le courriel avait l'air interne. Le phishing ne bat pas vos connaissances ; il bat votre attention, pendant les deux secondes nécessaires pour cliquer.
Quelques enseignements durables ressortent de cela :
- Les identifiants sont le périmètre. Les attaquants n'ont jamais brisé la cryptographie de l'ICANN ni exploité une faille serveur. Ils ont emprunté un mot de passe. Une fois que l'identité est la porte, l'identité volée est la violation — c'est exactement pourquoi le phishing reste l'attaque la plus fiable au monde.
- L'authentification multi-facteurs n'est pas optionnelle pour les systèmes privilégiés. La pique de The Register à propos d'« aucun signe d'authentification à deux facteurs » résume tout. Un second facteur aurait probablement transformé un vol d'identifiants en non-événement.
- Le mouvement latéral est le multiplicateur. Les dégâts sont venus de la réutilisation — les identifiants de messagerie réutilisés pour accéder au CZDS, au wiki et au portail. Segmenter les accès et éviter qu'un seul identifiant volé ouvre de nombreuses portes est ce qui contient une violation.
- Les données compromises durent pour toujours. La revente en 2017 prouve que « nous avons réinitialisé les mots de passe » clôt l'incident mais pas l'exposition. Les noms, adresses et numéros de téléphone ne peuvent pas être non-divulgués.
- L'autorité n'est pas synonyme d'immunité. Être l'institution qui définit la confiance ne vous rend pas immunisé contre l'attaque la plus fondamentale qui la vise. Si quoi que ce soit, cela fait de vous une meilleure cible.
L'angle Namefi
La violation de l'ICANN est, en son cœur, une histoire sur qui contrôle les enregistrements — et sur la façon dont ce contrôle a été détourné via un seul identifiant volé sur un système centralisé.
C'est la faiblesse structurelle sur laquelle il vaut la peine de s'arrêter. Lorsque la preuve de qui est autorisé à accéder ou à gérer des données de domaine critiques repose sur un nom d'utilisateur et un mot de passe sur une seule plateforme, tout le modèle de confiance s'effondre dès que ces identifiants sont hameçonnés. Il n'y a pas de second contrôle. Un courriel convaincant et un mot de passe réutilisé ont suffi pour accorder un accès administrateur au système de données de zone au cœur du monde du nommage.
Namefi est construit sur une prémisse différente : que la propriété et le contrôle des domaines doivent être vérifiables, résistants à la falsification et non dépendants d'un seul secret dans une seule boîte de réception. En représentant la propriété de domaine sous forme de tokens on-chain compatibles avec le DNS, le contrôle devient quelque chose que vous pouvez prouver et auditer cryptographiquement — pas seulement quelque chose protégé par un mot de passe qu'un courriel de spear-phishing peut voler. Cela ne rend personne immunisé contre le phishing ; rien ne le fait. Mais cela réduit le rayon d'explosion, de sorte qu'un seul identifiant emprunté ne soit plus à une étape des clés du royaume.
L'image durable de l'EP11 est la fausse lettre qui a franchi les portes du gardien des clés maîtresses d'Internet parce qu'elle portait le bon uniforme. La solution n'est pas un gardien plus intelligent. C'est un système où les clés elles-mêmes peuvent prouver qu'elles sont authentiques.
Sources et lectures complémentaires
- ICANN — ICANN Targeted in Spear Phishing Attack | Enhanced Security Measures Implemented (source primaire, incluant la mise à jour de 2017)
- The Register — ICANN HACKED: Intruders poke around global DNS innards
- Help Net Security — ICANN systems breached via spear-phishing emails
- Computerworld — ICANN data compromised in spearphishing attack
- WeLiveSecurity (ESET) — ICANN computers compromised by hackers
- Associations Now — ICANN Systems Infiltrated in "Spear Phishing" Attack
- Slate — ICANN Got Hacked
- Domain Incite — Hacked ICANN data for sale on black market
- Slashdot — Hackers Compromise ICANN, Access Zone File Data System
- CyberScoop — Hacked ICANN data still sells for hundreds of dollars years after breach
- DomainGang — ICANN alerts users of CZDS & ICANN Wiki about security breach
À propos de l’auteur·rice
Guides connexes
- La Minute à 12 Dollars : Quand Quelqu'un a Discrètement Acheté Google.comEn septembre 2015, un ancien employé de Google a acheté google.com via Google Domains pour 12 dollars et a détenu le contrôle administratif du domaine le plus précieux au monde pendant environ une minute. L'histoire de Sanmay Ved, la prime de 6 006,13 dollars, et ce qu'une minute de propriété révèle sur celui qui contrôle vraiment un domaine.
- Domain Mayday EP03 : La prise de contrôle de comptes Twitter Bitcoin en 2020Le 15 juillet 2020, des attaquants ont infiltré Twitter par téléphone, détourné les comptes vérifiés d'Obama, Biden, Musk, Gates, Apple et Uber, et lancé une arnaque de doublement de Bitcoin — récoltant environ 118 000 dollars. Une analyse approfondie de la façon dont le contrôle d'une identité en ligne a été volé, et ce qu'elle enseigne sur la possession d'un nom.
- Domain Mayday EP05 : Le détournement massif de domaines DeFi sur Squarespace en 2024En juillet 2024, une migration de registrar de Google Domains vers Squarespace a transformé une authentification par défaut trop faible en une surface d'attaque massive. Des attaquants ont détourné les domaines de projets crypto et DeFi — Compound Finance, Celer Network, Pendle, Unstoppable Domains — et les ont redirigés vers des sites de phishing vidant les portefeuilles. Voici comment une migration « transparente » a créé des centaines de portes d'entrée non verrouillées, et ce qu'elle enseigne sur la sécurité des registrars et l'authentification multifacteur.
- L'attaque front-end de BadgerDAO : 120 millions de dollars siphonnés par un seul script injectéEn décembre 2021, des attaquants ont compromis le compte Cloudflare de BadgerDAO et injecté un seul script malveillant dans le front-end de son site web. Les contrats intelligents audités n'ont jamais été touchés — et pourtant, environ 120 millions de dollars sont partis via des approbations de portefeuilles signées à l'insu des utilisateurs. Une analyse approfondie expliquant pourquoi le site web fait partie de votre surface de sécurité.