On ne sait pas encore quelle est l'ampleur du préjudice, mais la technique employée par les pirates semble assez basique, ce qui est inquiétant.
Une attaque DNS combinée à une attaque BGP
Alerte rouge sur l'Ethereum : depuis mardi soir, un nombre encore indéterminé de propriétaires de comptes MyEtherWallet, destinés à stocker de la crypto monnaie Ethereum, ont eu la très désagréable surprise de voir leurs comptes vidés !
L'attaque dont MyEtherWallet a été la victime pendant quelques heures fait froid dans le dos, tellement elle semble basique, même s'il manque encore des détails pour comprendre ce qui s'est passé. Sans que l'on sache comment, les pirates sont parvenus à intercepter certaines requêtes DNS à destination de myetherwallet.com. Résultat, les internautes peu méfiants se sont retrouvés sur un site se faisant passer pour myetherwallet. Une alerte à l'écran signalant un certificat SSL non signé a peut-être mis la puce à l'oreille à certains, mais d'autres ont validé la connexion sans réfléchir, et communiqué par la même occasion sans s'en rendre compte leurs identifiants de connexion et mot de passe pour leur vrai compte MyEtherWallet aux pirates...
La vulnérabilité BGP, faille récurrente d'Internet
A l'heure où nous publions ces lignes, la faille de sécurité a été comblée, et les internautes qui tentent d'accéder à leur compte MyEtherWallet passent normalement par le bon site. Mais ce qui surprend dans cette attaque, c'est que les pirates soient parvenus à détourner une partie des requêtes des internautes, en interceptant donc les requêtes DNS. Pour cela, il leur a fallu pirater le serveur DNS d'un FAI, ou d'un opérateur télécom, serveur qui a donc orienté pendant quelques heures les requêtes des internautes passant par lui vers le faux site myetherwallet.com.
Cette technique de piratage est assez inédite, car elle combine à la fois une attaque DNS, assez classique, et une attaque BGP, celle qui consiste à changer les tables de routage d'un serveur DNS à l'insu de son propriétaire.
D'après les premières informations recueillies dans cette affaire, les victimes du piratage utilisaient non pas les serveurs DNS par défaut de leur FAI, mais le service DNS de Google. Celui-ci aurait recueilli les informations de routage falsifiées par le biais du service Route 53 d'Amazon. Toutefois, un représentant de Amazon Web Services a précisé qu'à aucun moment Route 53 n'a été piraté ou compromis. C'est donc en amont, du côté du serveur DNS piraté, a priori sur la côte ouest des Etats-Unis, que la faille de sécurité a été détectée et exploitée par les pirates.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
