Domain Mayday EP10 : Comment l'Armée électronique syrienne a mis hors ligne NYTimes.com en piégeant un revendeur
Le 27 août 2013, l'Armée électronique syrienne a hameçonné un revendeur de Melbourne IT, réécrit les enregistrements DNS de nytimes.com et des domaines de Twitter, et mis le New York Times hors ligne pendant des heures. Une analyse approfondie de la façon dont un maillon faible dans la chaîne des registraires est devenu la faille d'entrée d'un grand journal — et ce qu'un verrouillage au niveau du registre aurait changé.
- domains
- security
- dns
- domain-security
Le nom de domaine d'un journal est sa porte d'entrée. Lorsque vous tapez nytimes.com, vous faites confiance à une chaîne invisible — un registre de domaines, un registraire, parfois un revendeur en dessous de ce registraire — pour vous diriger vers la vraie salle de rédaction et nulle part ailleurs. En temps normal, vous ne pensez jamais à cette chaîne. Le 27 août 2013, elle a rompu, et des millions de lecteurs se sont retrouvés devant la porte d'entrée du New York Times pour découvrir qu'elle avait été remplacée par celle de quelqu'un d'autre.
Cet « autre » était l'Armée électronique syrienne (AES), un collectif de hackers pro-Assad qui passait l'année 2013 à s'attaquer aux médias occidentaux. Cette fois, ils n'ont pas défacé un seul article ni pénétré dans un système de gestion de contenu. Ils sont allés un niveau plus bas — dans les enregistrements DNS qui décident où pointe un domaine — et pendant quelques heures, ils ont possédé l'adresse de l'un des sites d'information les plus lus de la planète.
Un domaine est une porte d'entrée, et cette porte a une serrure que vous ne contrôlez pas
Lorsqu'une entreprise comme le New York Times enregistre un domaine, l'enregistrement faisant autorité sur « qui possède ceci et où cela pointe » réside au niveau du registre (pour .com, c'est Verisign) et est géré par un registraire. Les grands registraires vendent également via des revendeurs — des sociétés plus petites qui revendent des services de domaines et détiennent leur propre identifiant de connexion aux systèmes du registraire.
Cette structure en couches est pratique. Elle constitue aussi une chaîne de confiance où le maillon le plus faible détermine la sécurité de l'ensemble. Si un attaquant peut s'authentifier comme n'importe qui dans cette chaîne — le titulaire du domaine, le personnel du registraire ou un revendeur — les systèmes du registraire traiteront, par conception, cette personne comme le propriétaire légitime. Le directeur général de Melbourne IT lui-même a résumé le mode de défaillance en une phrase dévastatrice : « Ils sont entrés par la porte d'entrée », a-t-il déclaré à l'AP. Si vous disposez d'un nom d'utilisateur et d'un mot de passe valides, le système suppose que vous êtes le propriétaire autorisé. C'est tout le problème en un mot.
27 août 2013 : le jour où nytimes.com pointait ailleurs
En fin d'après-midi d'un mardi, les lecteurs n'arrivaient plus à atteindre le Times. Le site web du New York Times « était inaccessible pour certains utilisateurs », rapportait ABC News, et le journal a confirmé que son site était « indisponible pour les lecteurs le mardi après-midi » à la suite d'une attaque contre son registraire de domaines. Ce n'était pas une simple interruption passagère. Les visiteurs « ont été accueillis par des écrans de navigateur vides pendant plusieurs heures le mardi », a rapporté le Christian Science Monitor — et pour aggraver les choses, c'était « la deuxième fois ce mois-ci » que le site tombait en panne.
Ce qui s'était réellement passé était un détournement DNS au niveau du registraire. Les attaquants avaient modifié les enregistrements qui traduisent nytimes.com en adresse IP et les avaient réécrits. Selon le compte rendu de Wikipédia sur l'incident, NYTimes.com « avait son DNS redirigé vers une page affichant le message "Hacked by SEA" ». La porte d'entrée avait été déplacée sur un autre bâtiment.
Le Times n'était pas la seule cible dans ce compte. TechCrunch, qui couvrait les événements en temps réel, a constaté que à la fois « les serveurs de noms du New York Times et de Twitter semblaient avoir été enregistrés auprès du registraire Melbourne IT », et que le domaine twimg.com, « qui héberge les images et avatars de Twitter, montre également des modifications pointant vers des serveurs apparemment appartenant à l'AES. » Le site principal de Twitter a survécu en grande partie intact, mais son domaine d'images et d'avatars a vacillé — suffisamment pour que certains utilisateurs voient brièvement des images brisées.
L'impact : des heures d'obscurité et une redirection dont on ne pouvait pas se fier
Pour une organisation de presse, le coût d'un détournement ne se mesure pas uniquement en vues de pages perdues. Il se mesure en confiance. Pendant toute la durée de la panne, quiconque accédait à nytimes.com était acheminé par l'attaquant. Le directeur des systèmes d'information du Times lui-même, Mark Frons, a indiqué au personnel que la perturbation « était le résultat d'une attaque externe malveillante menée par l'Armée électronique syrienne ou par quelqu'un cherchant très fort à y ressembler » — et il a averti les employés d'être prudents avec leurs e-mails tant que le domaine était hors du contrôle du journal.
Réfléchissez à ce qu'un enregistrement DNS détourné permet réellement. L'attaquant contrôle l'endroit vers lequel le nom est résolu, ce qui signifie qu'il peut afficher une page de défiguration (comme ils l'ont fait), mais il pourrait tout aussi bien servir une fausse page de connexion convaincante, collecter des identifiants ou intercepter du trafic. Une défiguration est bruyante et évidente. Un détournement DNS silencieux est bien plus dangereux — et la même vulnérabilité les rend tous deux possibles. Le domaine du Huffington Post Royaume-Uni a également été pris dans le même incident, soulignant qu'il s'agissait d'une compromission de compte de registraire, et non d'une farce isolée ciblant une seule salle de rédaction.
Comment c'est arrivé : hameçonner le revendeur, pas le journal
Voici la partie sur laquelle il faut s'arrêter : l'AES n'a jamais eu besoin de s'introduire dans le New York Times. Elle n'a jamais touché les serveurs du journal ni son CMS. Elle a attaqué la chaîne en dessous du registraire.
Le point d'entrée était un e-mail de harponnage envoyé à un revendeur américain de Melbourne IT. Comme l'a rapporté The Next Web, Melbourne IT « a confirmé que l'AES avait utilisé des techniques de phishing pour obtenir les identifiants de connexion » — le personnel du revendeur a été trompé et a transmis ses identifiants e-mail, et les attaquants ont ensuite fouillé ces boîtes aux lettres pour trouver les identifiants du registraire. À partir de là, c'était simple : les identifiants « d'un revendeur de Melbourne IT (nom d'utilisateur et mot de passe) ont été utilisés pour accéder à un compte revendeur sur les systèmes de Melbourne IT », et une fois à l'intérieur, les attaquants « ont modifié les enregistrements DNS de plusieurs noms de domaine ... y compris ceux du Times. »
Le compte rendu de TechCrunch est tout aussi direct : les « enregistrements DNS de plusieurs noms de domaine sur ce compte revendeur ont été modifiés — y compris nytimes.com. »
C'est l'asymétrie qui rend les attaques contre la chaîne des registraires si attrayantes. Le Times aurait pu renforcer sa propre infrastructure au maximum, cela n'aurait rien changé, car le compte vulnérable appartenait à un revendeur tiers plusieurs étapes en amont de la salle de rédaction. Un harponnage contre quelques employés d'une petite entreprise a suffi pour rediriger un journal lu par des millions de personnes.
Réponse et séquelles
Une fois que Melbourne IT a compris ce qui s'était passé, la remédiation a été simple — et cela montre à quel point ces attaques sont réversibles si vous contrôlez le registraire. La société a restauré les paramètres corrects : elle a rétabli les enregistrements DNS modifiés et les a « verrouillés » pour empêcher toute modification ultérieure. Elle a changé le mot de passe du compte revendeur compromis et extrait les journaux pour retracer l'intrusion. Le Times a rétabli le service au début du mercredi.
Mais le détail le plus instructif de tout l'épisode, c'est pourquoi les dégâts se sont arrêtés là où ils se sont arrêtés. Certains domaines sur ce même compte revendeur n'ont jamais été affectés — parce que leurs propriétaires avaient activé une protection plus robuste. Dans les propres termes de Melbourne IT, pour les « noms critiques pour la mission, nous recommandons que les propriétaires de noms de domaine tirent parti des fonctionnalités de verrouillage de registre supplémentaires disponibles auprès des registres de noms de domaine, y compris .com — certains des noms de domaine ciblés sur le compte revendeur disposaient de ces fonctionnalités de verrouillage actives et n'ont donc pas été affectés. »
Un verrouillage de registre place le domaine dans un état (visible dans le WHOIS sous forme d'indicateurs tels que serverUpdateProhibited) où le registre refusera les modifications à moins qu'un processus plus strict, hors bande, ne soit suivi. Comme l'ont noté les observateurs du secteur des noms de domaine à l'époque, les enregistrements de Twitter portaient exactement ce type de statut de verrouillage Verisign. Un mot de passe de revendeur hameçonné ne suffit pas à contourner un verrouillage de registre — et ce seul choix de configuration est la frontière entre « hors ligne pendant des heures » et « jamais affecté ».
Ce que cela enseigne sur les chaînes registraires/revendeurs et les verrouillages de registre
Le détournement du 27 août est un cas d'école presque parfait parce que chaque maillon de la chaîne de défaillance est visible.
- Votre domaine est aussi sécurisé que le compte le plus faible pouvant le modifier. Cela inclut le personnel de votre registraire et tout revendeur en dessous — sur aucun desquels vous n'avez de contrôle direct. Le Times n'a rien fait de mal sur ses propres serveurs ; la compromission était à plusieurs étapes de la salle de rédaction.
- Le phishing bat les pare-feux. Aucun exploit exotique n'a été utilisé. Un faux e-mail adressé à une poignée d'employés d'un revendeur a produit des identifiants que les systèmes du registraire ont traités comme pleinement autorisés. « Ils sont entrés par la porte d'entrée. »
- Le verrouillage de registre est le contrôle qui a vraiment fait la différence. Les domaines dotés de fonctionnalités de verrouillage de registre supplémentaires « n'ont donc pas été affectés ». Pour tout domaine critique, le verrouillage de registre (ainsi que le verrouillage registraire et l'authentification à deux facteurs sur le compte registraire) n'est pas un renforcement optionnel — c'est la ligne de base.
- Les modifications DNS sont puissantes et rapides. Une simple réécriture des serveurs de noms ou des enregistrements A redirige instantanément toute une marque. Le rayon d'action d'un seul compte compromis s'étend à tous les domaines qu'il peut modifier.
- Surveillez vos propres enregistrements. La surveillance WHOIS et DNS aurait signalé le changement non autorisé en quelques minutes. Plus tôt vous remarquez une modification inattendue de serveur de noms, plus la panne est courte.
L'angle Namefi
Le détournement par l'AES était, à la base, un problème d'autorité. Le système du registraire ne pouvait pas faire la différence entre le vrai propriétaire et quelqu'un détenant un mot de passe hameçonné, il a donc fait ce pour quoi il a été conçu et a accepté la modification. Chaque défense qui a fonctionné — verrouillages de registre, confirmation hors bande, surveillance attentive — est en réalité une façon d'élever le niveau d'exigence pour prouver qu'une demande de modification émane vraiment du propriétaire.
Namefi part exactement de cette prémisse : la propriété et le contrôle d'un domaine doivent être vérifiables et inviolables, et non un simple mot de passe réutilisable qui circule dans la boîte de réception d'un revendeur. En représentant la propriété d'un domaine comme un actif sur chaîne, cryptographiquement vérifiable et compatible avec le DNS, Namefi fait de « qui est autorisé à modifier ce domaine » une question avec une réponse solide et auditable, plutôt qu'une confiance implicite en quiconque s'est connecté. Les changements de contrôle deviennent des actions explicites et signées liées au propriétaire — plus proches d'un verrouillage de registre dont vous détenez la clé que d'une porte d'entrée dont n'importe qui possédant le bon mot de passe peut ouvrir la serrure.
Le domaine d'un journal est sa porte d'entrée. La leçon du 27 août 2013 est que le verrou le plus solide possible ne sert à rien si quelqu'un situé à plusieurs bâtiments de là peut être trompé et remettre un double de la clé. La solution, c'est de rendre la propriété elle-même prouvable — pour que « entré par la porte d'entrée » ne soit plus jamais une chose qu'un étranger puisse dire.
Sources et lectures complémentaires
- The Register — New York Times, Twitter domain hijackers 'came in through front door'
- TechCrunch — Syrian Electronic Army Apparently Hacks DNS Records Of Twitter, NYT Through Registrar Melbourne IT
- ABC News — New York Times Website Hacked, Syrian Electronic Army Appears to Take Credit
- Christian Science Monitor — New York Times hacked, Syrian Electronic Army takes credit
- iTnews — Melbourne IT compromise redirects NY Times, HuffPo readers
- The Next Web — Here's How the New York Times and Twitter Got Hacked
- Domain Name Wire — Melbourne IT the weak link as Twitter and NY Times domain names compromised
- Wikipedia — Syrian Electronic Army
- NBC News — Syrian group hacks Twitter, New York Times
- Al Jazeera — Syria hackers target New York Times website
À propos de l’auteur·rice
Guides connexes
- La Minute à 12 Dollars : Quand Quelqu'un a Discrètement Acheté Google.comEn septembre 2015, un ancien employé de Google a acheté google.com via Google Domains pour 12 dollars et a détenu le contrôle administratif du domaine le plus précieux au monde pendant environ une minute. L'histoire de Sanmay Ved, la prime de 6 006,13 dollars, et ce qu'une minute de propriété révèle sur celui qui contrôle vraiment un domaine.
- Domain Mayday EP03 : La prise de contrôle de comptes Twitter Bitcoin en 2020Le 15 juillet 2020, des attaquants ont infiltré Twitter par téléphone, détourné les comptes vérifiés d'Obama, Biden, Musk, Gates, Apple et Uber, et lancé une arnaque de doublement de Bitcoin — récoltant environ 118 000 dollars. Une analyse approfondie de la façon dont le contrôle d'une identité en ligne a été volé, et ce qu'elle enseigne sur la possession d'un nom.
- Domain Mayday EP05 : Le détournement massif de domaines DeFi sur Squarespace en 2024En juillet 2024, une migration de registrar de Google Domains vers Squarespace a transformé une authentification par défaut trop faible en une surface d'attaque massive. Des attaquants ont détourné les domaines de projets crypto et DeFi — Compound Finance, Celer Network, Pendle, Unstoppable Domains — et les ont redirigés vers des sites de phishing vidant les portefeuilles. Voici comment une migration « transparente » a créé des centaines de portes d'entrée non verrouillées, et ce qu'elle enseigne sur la sécurité des registrars et l'authentification multifacteur.
- L'attaque front-end de BadgerDAO : 120 millions de dollars siphonnés par un seul script injectéEn décembre 2021, des attaquants ont compromis le compte Cloudflare de BadgerDAO et injecté un seul script malveillant dans le front-end de son site web. Les contrats intelligents audités n'ont jamais été touchés — et pourtant, environ 120 millions de dollars sont partis via des approbations de portefeuilles signées à l'insu des utilisateurs. Une analyse approfondie expliquant pourquoi le site web fait partie de votre surface de sécurité.