En effet, pas plus tard qu'en juin dernier, après que les États-Unis eurent envoyé des troupes supplémentaires au Moyen-Orient et annoncé de nouvelles sanctions contre l'Iran, les cyberattaques visant des industries et des organismes publics américains se sont multipliées, avait indiqué à l'époque le ministère de la Sécurité intérieure.
Des cyber-responsables américains ont attiré l’attention sur les précédentes cyberattaques iraniennes et ont demandé au public de faire particulièrement attention alors que l’Iran vient de subir un événement grave de la part des États-Unis. À la suite de l’attaque aérienne, Christopher Krebs, le directeur de l'Agence américaine de la cybersécurité et de la sécurité des infrastructures, a répété, dans un tweet, une mise en garde faite au cours de l'été dernier au sujet des cyberattaques malveillantes de l'Iran et a exhorté le public à se tenir au courant des tactiques iraniennes et à prêter attention aux systèmes essentiels, en particulier à l'infrastructure de contrôle industriel.
Le département américain de la Sécurité intérieure a mis en garde contre d'éventuelles cyberattaques iraniennes visant des infrastructures critiques. Cet avertissement ne s'appliquait probablement pas au site Web du Federal Deposit Library Program, géré par le bureau d'impression du gouvernement américain qui a été effacé le 4 janvier avec un message pro-iranien et une image d'un président Donald Trump ensanglanté frappé par un poing iranien.
Le site Web du FDLP n'est pas étranger aux attaques de dégradations. D'après une brève analyse de l'attaque menée par un chercheur en sécurité répondant au nom d'utilisateur sshell, le site a été dégradé deux fois au cours de ces 10 dernières années (la dernière fois était en 2014, lorsque des hackers ont remplacé le contenu par un clip vidéo de danse avec un chat).
« Permettez-moi de commencer par dire que je sais que cette dégradation n'est une surprise pour personne. Cela ne justifie pas nécessairement l'attention que je lui ai accordée, mais c'est un exercice soigné qui m'a appris quelques choses sur la culture entourant les dégradations et m'a donné quelques idées intéressantes pour de futures recherches.
« La dégradation est assez simple. Les attaquants ont téléchargé deux images et noirci le reste de la page. Ils ont ajouté le bit standard "lol u got got" au bas de la page et sont partis pour exécuter des outils d'attaque automatisés contre d'autres sites ».
Selon les fichiers du site, qui s'appuie sur le système de gestion de contenu Joomla, son code n'a pas bénéficié d'une mise à jour depuis 2012. Et le site s'est servi de modules qui utilisaient une version de RSForm de Joomla qui avait été signalée il y a 11 mois comme étant vulnérable à une attaque par injection SQL : « selon les premiers snapshots de Wayback Machine en 2008, FDLP.gov a toujours été un site Joomla. Le code a été modifié au fil des ans, un changement de modèle a eu lieu en 2014 et des plugins ont été ajouté et supprimés. Cependant, lorsque l'on regarde le code source du snapshot le plus récent avant la dégradation, il semble que de nombreux plugins (comme MooTools) et les dépendances externes (comme Bootstrap) n'avaient pas été mis à jour depuis un certain temps en 2012, sur la base des chaînes de droits d'auteur et de la version dates des numéros de version ».
Alors que l'image représentant Trump n'avait pas de métadonnées attachées, une autre image avec du texte avait des données EXIF ​​(Exchangeable Image File Format) indiquant qu'elle avait été créée avec Adobe Photoshop CS 6 pour Windows en 2015. Comme l'a noté sshell_, l'image a été utilisée dans une défiguration signalée aux « archives de la cybercriminalité » Zone-H par un utilisateur s'identifiant comme IRAN-CYBER le 2 décembre 2015.
Zone-H propose une sorte de tableau de bord pour les hackers qui remplacent les données des sites web, leur permettant de signaler leurs actes de manière anonyme. IRAN-CYBER a signalé 2447 dégradations de sites datant de 2015, la plupart d'entre elles étant des attaques opportunistes sur des sites mal protégés.
La dégradation du site du FDLP a été largement rapportée par les médias qui l'ont lié aux menaces de représailles de l'Iran. L'Agence de cybersécurité et de sécurité des infrastructures (CISA) du DHS a été forcée de répondre aux informations, un porte-parole notant « qu'il n'y a aucune confirmation qu'il s'agissait de l'action d'acteurs iraniens parrainés par l'État ».
Source : analyse du chercheur, USA Today
Et vous ?
Ce genre d'action à l'endroit des sites américains est-il surprenant ?
Cette attaque peut-elle, selon vous, être attribuée à l'Iran ?
Selon-vous est-elle forte pour le symbole (site gouvernemental américain) ou non (site non patché) ?
Une cible d'entraînement en attendant de s'attaquer éventuellement aux infrastructures critiques comme le craignent les responsables américains ?
Voir aussi :
L'armée US prévoit des améliorations cybernétiques pour fusionner les humains et les machines à l'horizon 2050, des soldats qui ont une vue surhumaine, des muscles augmentés contrôlables
La société de cybersécurité Avast collecte et vend les données de navigation de ses clients, début d'explication avec le DG du groupe
La Ministre des Armées et huit grands groupes industriels français signent une convention de trois ans pour construire une chaîne de cyberdéfense « de bout en bout »
61 % des chefs d'entreprise pensent que les hackers « gagnent la guerre » contre la cybercriminalité, selon une étude de l'European Business Awards