L’attaque, qui fait peur à l’ICANN, a réussi à contourner cette double défense. La liste des sites qui ont pu être victimes de ce piratage subtil interpelle. On y trouve des sites webmail du gouvernement chypriote, du ministère des Affaires étrangères des Émirats arabes unis, du ministère des Finances du Liban. Des serveurs mails du ministère des Affaires étrangères égyptien, du bureau de l’aviation civile du Koweït, du ministère du Pétrole égyptien et celui d’une compagnie aérienne ont aussi été visés. Des sites web du ministère de la défense égyptien, des services secrets d’Albanie et de Jordanie, l’accès à distance au réseau informatique de la police d’Abu Dhabi terminent cette liste non exhaustive. Le trafic vers tous ces sites a pu être redirigé vers des serveurs contrôlés par les pirates. Les pays de ces sites sont très ciblés : Albanie, Chypre, l’Égypte, l’Iraq, la Jordanie, le Koweït, le Liban, la Libye , l’Arabie Saoudite, et les Émirats arabes unis. Il n’en a pas fallu plus pour mettre en cause l’Iran.
[…]
Le piratage a été mis en évidence en vérifiant vers quels serveurs web pointaient les noms de sites web officiels de plusieurs pays du Moyen Orient repris ci-dessus. Alors qu’ils n’avaient pas changé depuis des années, subitement ces dernières semaines ces sites web pointaient désormais temporairement (de quelques heures à quelques jours) vers des serveurs hébergés en Allemagne.
Deux gestionnaires de serveurs DNS ont été attaqués, l’un en Suède, l’autre en Californie. L’un et l’autre contrôlent un très grand nombre de noms de domaines (des serveurs racines de noms de domaines). Le gestionnaire suédois a d’abord vu la partie de son système sans DNSSEC attaquée, ce qui a permis plus facilement aux pirates de réaliser des modifications dans les tables de relation entre les noms des sites web et les adresses IP des serveurs correspondants. Pour ce faire, ils ont pu utiliser, peut-on penser, un login et un mot de passe volé auprès d’un service d’enregistrement de noms de domaines ; ce sont eux en effet qui annoncent les changements dans les noms de domaines, les nouveaux noms de domaines enregistrés, les modifications et les transferts. Le gestionnaire suédois a expliqué que ses clients, du Moyen Orient en l’occurrence, n’implémentent pas tous DNSSEC même si lui le fait pour sa propre infrastructure.
Mais les pirates ont aussi réussi à compromettre la partie DNSSEC, et c’est toujours via le service d’enregistrement de noms de domaines qu’ils y sont parvenus... Depuis celui-ci, ils ont réussi à arrêter le protocole DNSSEC pendant un temps pour écouter les communications sur le réseau et de collecter les mots de passe des utilisateurs envoyés pour accéder à leurs emails et pour se connecter à distance au réseau de leurs entreprises. L’idée était sans doute de pouvoir accéder aux mails des officiels des pays imapctés. Là où ils n’ont pas pu (ou oublié d’) interrompre le protocole DNSSEC, les employés ont vu cette sécurité bien fonctionner : le service email fut interrompu sans que cela n’inquiète les utilisateurs). On a aussi pu mettre en évidence que les pirates ont réussi à obtenir de nouveaux certificats pour les sites web qu’il avait redirigés vers leurs serveurs.
L’extrême sophistication de l’attaque met en émoi la communauté cyber : le protocole DNSSEC a été contourné par une accumulation de faiblesses organisationnelles périphériques : des certificats d’authenticité donnés un peu complaisamment, des services d’enregistrement de noms de domaines trop peu regardants sur la manière d’authentifier leurs agents, peu de précautions prises par ces derniers lors des demandes de modification d’un serveur qui héberge un site web ou un service mail. La leçon est toujours la même : lorsqu’un protocole semble sûr (DNSSEC), les pirates cherchent alors à profiter des faiblesses organisationnelles et des négligences humaines. Pour les 80% du web non encore protégé par DNSSEC, c’est encore plus simple. L’ICANN a raison de sortir de sa réserve.