[Article mis à jour le 23/10/24 avec les précisions apportées par Zendesk] Octobre noir pour Internet Archive, qui essuie sa troisième cyberattaque depuis le début du mois.

Internet Archive encore piraté : si le support client vous contacte, méfiez-vous © Alexandre Boero pour Clubic
Internet Archive encore piraté : si le support client vous contacte, méfiez-vous © Alexandre Boero pour Clubic

Alors que le site tentait de se relever tant bien que mal, une nouvelle offensive est venue ébranler Internet Archive. Conséquence directe de l’une des deux attaques ayant ciblé la plateforme quelques jours plus tôt, c’est cette fois-ci son service d’emailing Zendesk qui a été touché. Une campagne de phishing émanant officiellement du support client bat actuellement son plein, vengeance assumée d’un hacker à l’ego bien fragile.

Un serveur corrompu et 800 000 tickets support exploités

Si vous recevez un message du support d’Internet Archive exigeant votre pièce d’identité pour supprimer votre compte, soyez prudent. D’après de nombreux signalements reçus par Bleeping Computer, la plateforme serait toujours compromise. Près de deux semaines après la double attaque ayant fait temporairement tomber le site, c’est son service de tickets Zendesk qui est cette fois-ci visé.

En cause : l’exploitation d'un jeton d’accès GitLab dérobé au cours d’une première attaque, ayant permis au cyberattaquant de s’introduire et d'exploiter l'un des serveurs de l’assistance technique d’Internet Archive. Plus de 800 000 tickets transmis à la plateforme depuis 2018 sont susceptibles d’avoir été récupérés, alors que le pirate accuse le site de ne pas avoir pris de mesure de sécurité suffisante pour renouveler ses tokens après avoir été mis au courant de la première attaque.

Meilleur antivirus, le comparatif en novembre 2024
À découvrir
Meilleur antivirus, le comparatif en novembre 2024

21 novembre 2024 à 11h06

Comparatifs services

Plusieurs utilisateurs et utilisatrices ont ainsi rapporté avoir reçu de drôles de réponses à des mails, parfois très anciens, envoyés à l’assistance. Une première version des messages imputables au hacker met en garde les internautes, expliquant qu’il est « décourageant de constater que même après avoir été informé de la violation il y a quelques semaines, IA n'a toujours pas fait preuve de la diligence raisonnable en continuant de faire tourner de nombreuses clés API exposées […]. Comme le démontre ce message, cela inclut un jeton Zendesk avec des autorisations pour accéder à plus de 800 000 tickets d'assistance envoyés à [email protected] depuis 2018. »

D’après Bleeping Computer, l’examen des en-têtes de ces mails prouve bien qu’ils ont été envoyés depuis un serveur Zendesk d’Internet Archive, alors qu’ils passent tous les contrôles d’authentification DKIM, DMARC et SPF.

Problème : en parallèle de ces mails a priori sans conséquence directe pour les données personnelles des internautes, d’autres ont reçu des réponses officielles à des demandes de suppression de comptes exigeant des identifiants et des copies de leur pièce d’identité pour accéder à leur requête.

Certains internautes ont reçu des mises en garde du hacker envoyées depuis un serveur Zendesk officiellement administré par Internet Archive © Bleeping Computer

Une histoire d'ego piqué au vif

Cette méthode consistant à la fois à prévenir certains internautes, et à extorquer les données personnelles d’autres abonnés interroge. Il apparaît cependant très clairement que les motivations du hacker sont teintées de rivalité personnelle. En effet, à l’issue des deux offensives menées en début de mois, de nombreux médias ont corrélé l’attaque DDoS et le piratage de 33 millions de comptes, attribuant les deux actions au même groupe de cyberattaquants pro-palestiniens : SN_BlackMeta.

Or, il n’en est rien, et l’auteur de la violation de données, vexé, a tenu à rétablir la vérité. Le hacker s’est donc chargé de contacter directement Bleeping Computer pour dissiper le malentendu et revendiquer la paternité de la première attaque. En plus d’expliquer comment il en était arrivé à dérober le jeton d’authentification GitLab compromis, il s’est également vanté d’avoir pu télécharger le code source du site, récupérer la base de données utilisateur, accéder à divers codes sources associés, et manipuler la plateforme. Montant total du butin : 7 To de données liées à Internet Archive, pour lesquelles il a refusé de fournir des échantillons de preuve.

Ces explications viennent mettre fin à diverses théories imputant l'attaque à Israël, au gouvernement des États-Unis, ou encore à plusieurs entreprises engagées contre le travail d’Internet Archive, qui contreviendrait au droit d’auteur. In fine, rien de politique ni de financier dans les motivations du hacker qui a décidé de pirater la plateforme… simplement parce qu’il pouvait le faire.

Zendesk a tenu à apporter quelques précisions pour confirmer que la plateforme n'était pas responsable de la mauvaise sécurisation des jetons d'authentification d'Internet Archive :

"Comme indiqué dans votre article, Internet Archive n'a pas sécurisé ses jetons d'authentification, ce qui a permis un accès non autorisé à leur instance Zendesk. Il est important de noter que rien ne prouve qu'il s'agissait d'un problème lié à Zendesk et que Zendesk n'a pas été victime d'une compromission de sa plateforme. Nous avons depuis collaboré avec Internet Archive pour sécuriser leur compte."