Octobre noir pour Internet Archive, qui essuie sa troisième cyberattaque depuis le début du mois.
Alors que le site tentait de se relever tant bien que mal, une nouvelle offensive est venue ébranler Internet Archive. Conséquence directe de l’une des deux attaques ayant ciblé la plateforme quelques jours plus tôt, c’est cette fois-ci son service d’emailing Zendesk qui a été touché. Une campagne de phishing émanant officiellement du support client bat actuellement son plein, vengeance assumée d’un hacker à l’ego bien fragile.
Un serveur corrompu et 800 000 tickets support exploités
Si vous recevez un message du support d’Internet Archive exigeant votre pièce d’identité pour supprimer votre compte, soyez prudent. D’après de nombreux signalements reçus par Bleeping Computer, la plateforme serait toujours compromise. Près de deux semaines après la double attaque ayant fait temporairement tomber le site, c’est son service de tickets Zendesk qui est cette fois-ci visé.
En cause : l’exploitation d'un jeton d’accès GitLab dérobé au cours d’une première attaque, ayant permis au cyberattaquant de s’introduire et d'exploiter l'un des serveurs de l’assistance technique d’Internet Archive. Plus de 800 000 tickets transmis à la plateforme depuis 2018 sont susceptibles d’avoir été récupérés, alors que le pirate accuse le site de ne pas avoir pris de mesure de sécurité suffisante pour renouveler ses tokens après avoir été mis au courant de la première attaque.
16 octobre 2024 à 11h48
Plusieurs utilisateurs et utilisatrices ont ainsi rapporté avoir reçu de drôles de réponses à des mails, parfois très anciens, envoyés à l’assistance. Une première version des messages imputables au hacker met en garde les internautes, expliquant qu’il est « décourageant de constater que même après avoir été informé de la violation il y a quelques semaines, IA n'a toujours pas fait preuve de la diligence raisonnable en continuant de faire tourner de nombreuses clés API exposées […]. Comme le démontre ce message, cela inclut un jeton Zendesk avec des autorisations pour accéder à plus de 800 000 tickets d'assistance envoyés à [email protected] depuis 2018. »
D’après Bleeping Computer, l’examen des en-têtes de ces mails prouve bien qu’ils ont été envoyés depuis un serveur Zendesk d’Internet Archive, alors qu’ils passent tous les contrôles d’authentification DKIM, DMARC et SPF.
Problème : en parallèle de ces mails a priori sans conséquence directe pour les données personnelles des internautes, d’autres ont reçu des réponses officielles à des demandes de suppression de comptes exigeant des identifiants et des copies de leur pièce d’identité pour accéder à leur requête.
Une histoire d'ego piqué au vif
Cette méthode consistant à la fois à prévenir certains internautes, et à extorquer les données personnelles d’autres abonnés interroge. Il apparaît cependant très clairement que les motivations du hacker sont teintées de rivalité personnelle. En effet, à l’issue des deux offensives menées en début de mois, de nombreux médias ont corrélé l’attaque DDoS et le piratage de 33 millions de comptes, attribuant les deux actions au même groupe de cyberattaquants pro-palestiniens : SN_BlackMeta.
Or, il n’en est rien, et l’auteur de la violation de données, vexé, a tenu à rétablir la vérité. Le hacker s’est donc chargé de contacter directement Bleeping Computer pour dissiper le malentendu et revendiquer la paternité de la première attaque. En plus d’expliquer comment il en était arrivé à dérober le jeton d’authentification GitLab compromis, il s’est également vanté d’avoir pu télécharger le code source du site, récupérer la base de données utilisateur, accéder à divers codes sources associés, et manipuler la plateforme. Montant total du butin : 7 To de données liées à Internet Archive, pour lesquelles il a refusé de fournir des échantillons de preuve.
Ces explications viennent mettre fin à diverses théories imputant l'attaque à Israël, au gouvernement des États-Unis, ou encore à plusieurs entreprises engagées contre le travail d’Internet Archive, qui contreviendrait au droit d’auteur. In fine, rien de politique ni de financier dans les motivations du hacker qui a décidé de pirater la plateforme… simplement parce qu’il pouvait le faire.
Source : Bleeping Computer
