En cette journée de grève nationale de la SNCF,  SansBlog a voulu mettre à l’honneur notre société de transport ferroviaire préférée.

Wikipedia, encyclopédie privilégiée des internautes le dit ici:

Voyage-sncf.com est la première agence de voyages en ligne et le premier site marchand français. Il a enregistré en 2006 un volume d’affaires en hausse de 33% à 1,541 milliard d’euros.
(…)La directrice générale du site, Rachel Picard, (communique) sur son trophée de « meilleur site de l’année 2008 », obtenu au cours d’une élection organisée par la FEVAD (dont Voyages-sncf.com fait partie).

La semaine dernière fut riche en émotion pour les utilisateurs du « meilleur site de l’année 2008 »:

Le mardi 16 mars dernier, la SNCF annonce par erreur une explosion mortelle dans un train près de Macon. Le bilan est de 102 morts et 180 blessés, pas moins.
Fort heureusement, c’est par erreur que cette annonce s’est retrouvée sur le site : la SNCF procède régulièrement à des simulations de crise, ce dont nous leur savons gré. Ces simulations sont néanmoins réservées à l’interne et ne doivent en aucun cas alarmer inutilement les internautes. Une bête erreur de manipulation est donc à l’origine de ce bug : l’annonce n’aurait jamais dû apparaître sur le site principal.

Dans son édition du 17 mars, un article du Canard Enchaîné (« la SNCF laisse ses fidèles clients à poil sur son site Internet ») dévoile que le site de la SNCF serait « mal protégé » - pour faire simple. Un hacker un tout petit peu astucieux pouvait avoir accès à l’ensemble des fichiers clients (et donc de leurs données personnelles) de la SNCF, à l’exception des coordonnées bancaires heureusement. On imagine le profit pouvant être tiré de la vente de tels fichiers.
En plus d’être aberrant (la SNCF était au courant depuis un audit de sécurité effectué en 2008), cet état est illégal, la SNCF ayant l’obligation de protéger les données de ses utilisateurs (cette obligation est sanctionnée pénalement).

Imaginez une PME qui mélangerait son site de pré-production avec le site en ligne, imaginez un groupe côté en bourse qui laisserait les données hébergées sur les serveurs en libre accès,  vous en avez rêvé, la SNCF l’a fait !

Peut-être nous font-ils préférer le train, en tous les cas, ils vont certainement nous faire préférer les guichets !

Jean-Baptiste Sirand

Le 12 janvier dernier, le moteur de recherche utilisé par plus de 60% des internautes chinois, Baidu, a été piraté. Ainsi, pendant quelques heures, le nom de domaine baidu.com ne pointait plus vers le serveur de la société chinoise (adresse IP 220.181.6.81 ), mais vers un serveur iranien (adresse IP 188.95.49.6), une opération de reverse DNS nous montre que ce serveur héberge également de nombreux sites proposant des logiciels  et autres produits culturels contrefaits.
Ainsi, pendant quelques heures, tout internaute se connectant au site www.baidu.com ne voyait plus la page d’accueil habituelle, mais la page ci-dessous :

Vue du site Baidu.com lors de l'attaque

Comment cette « Iranian Cyber Army », déjà célèbre pour avoir fait subir le même sort à twitter.com le mois dernier, s’y est-elle prise ?
En utilisant une méthode connue sous le nom de DNS hijacking (détournement de DNS), laquelle comporte l’immense avantage de ne pas nécessiter beaucoup de connaissances en informatique ou de matériel perfectionné.


En effet ce type d’attaque utilise la faille que comporte tout système informatique, aussi sécurisé et perfectionné soit il : le facteur humain.
Les pirates ont, en fait, envoyé un email qui paraissait légitime à un employé de Baidu de la part de ce qui paraissait être leur registrar afin de récupérer les identifiants et mots de passe de l’interface de gestion des noms de domaines de Baidu chez ce registrar (REGISTER.COM).
Une fois en possession de ceux-ci, les pirates ont tout simplement modifié les serveurs DNS utilisés par ce nom de domaine afin de mettre les leurs (hébergés par Yahoo) à la place, comme le montre les captures d’écran ci-dessous :

Whois de baidu.com le jour de l'attaque (à gauche). Et Whois actuel (à droite).

L’attaque est invisible et indolore, du moins le temps de la propagation des DNS. Ce qui explique que ni Baidu, ni Register.com n’aient réagi à temps. Le seul moyen de s’en apercevoir, aurai été que le bureau d’enregistrement, Register.com, mette en place un contrôle systématique de toute modification apportée au nom de domaine Baidu.com.
Un autre avantage (ou inconvénient selon le point de vue) de ce type d’attaque, est que même lorsqu’il est mis fin au DNS hijacking, de nombreux utilisateurs continuent d’en souffrir pendant quelques heures, le temps que la propagation des nouvelles zone files  se fasse.


Suite à cette attaque, le Chief Technology Officer, numéro deux dans l’organigramme de Baidu, ainsi que le Chief Operating Officer ont tout deux démissionnés  pour « raisons personnelles ».


Aujourd’hui, Baidu a décidé de porter l’affaire devant les tribunaux américains, accusant la société REGISTER.COM de négligence impardonnable. En effet, selon Baidu, REGISTER.COM aurait du mettre en place des mesures de sécurités afin d’empêcher que ce type d’attaque ai lieu. A noter que dorénavant, ces mesures ont été prises. Le whois actuel affichant le status « server update prohibited ».
Se pose alors la question de la responsabilité, que devront trancher les tribunaux américains : dans quelle mesure un bureau d’enregistrement (registrar), est il responsable de la gestion des noms de domaines ? N’est-il que le mandataire, à la manière d’un bureau d’enregistrement de marque, du titulaire du nom de domaine ? Ou bien est il considéré comme un hébergeur, et doit, à se titre, garantir la pérennité et la sécurité des services qu’il propose ? Ce sera à la Cour Fédérale de l’état de New York de trancher cette question. Soyez assurés que la décision, quel qu’elle soit, trouvera quelques échos en ces lieux. Mais si les juges New-Yorkais tranchent en faveur de Baidu, cela obligerait  surement tous les registrars américains à mettre en place de, couteuses, procédures de contrôle. Coût qui sera alors probablement répercuté sur le coût des noms de domaines.


Quoi qu’il en soit, une leçon est à tirer de cette mésaventure : Il est en effet édifiant de voir à quel point une multinationale spécialisée dans le secteur des nouvelles technologies est vulnérable. En fait, au jour d’aujourd’hui, l’immense majorité des sociétés de premier  plan  sont vulnérables à ce genre d’attaque. Et si aujourd’hui les pirates,  se contentent de rediriger le trafic des domaines ainsi détournés vers une page célébrant leurs « exploits », rien ne les empêche, demain, de rediriger le trafic d’utilisateurs vers des sites malveillants utilisant des méthodes avancés de phishing ou de cross scripting. Et là, l’attaque pourrait être extrêmement dommageable pour les utilisateurs des services de la société visée.


Il existe deux contre-mesures simples pour éviter ce genre d’attaque :
Tout d’abord, et c’est l’évidence même, restreindre au maximum le nombre de personnes ayant connaissance des identifiants permettant de faire une quelconque modification. Et sensibiliser ceux-ci sur les méthodes utilisées par les pirates pour essayer de s’emparer desdits identifiants.
Une autre mesure est bien sûr de choisir avec soin son registrar : Il est plus facile d’opérer à un détournement de DNS lorsque le nom de domaine est géré par une grosse société ne pouvant se permettre de contrôler une par une chaque modification de DNS. Evidemment, passer par les services d’une société effectuant systématiquement de telles vérifications, comme le fait IP Twins, a un coût. Reste à voir pour les grandes sociétés si celui-ci n’est pas grandement inférieur au cout d’une attaque de type DNS hijacking.

Adrien PALUMBO