Le 9 octobre 2024, Archive.org, l’un des plus grands dépôts numériques conservant l’histoire complète d’Internet, a été victime d’une cyberattaque majeure. Cette attaque a compromis les données de 31 millions d’utilisateurs, révélant des adresses e-mail et des mots de passe hachés. L’attaque a été découverte après que des utilisateurs ont remarqué des messages inhabituels sur la page d’accueil d’Archive.org. Ces messages indiquaient que les données de millions d’utilisateurs avaient été exposées et redirigeaient vers le site “Have I Been Pwned” (HIBP), un service permettant de vérifier si des informations personnelles ont été compromises.Ceux qui ont visité The Internet Archive (www.archive.org) mercredi ont été accueilli par un pop-up affirmant que le site avait été piraté. Peu après 21 heures (heure française), Brewster Kahle, fondateur d'Internet Archive, a confirmé l'intrusion et indiqué que le site Web avait été défiguré par la notification via une bibliothèque JavaScript.
Voici ce que disait la fenêtre contextuelle :
« Avez-vous déjà eu l'impression que l'Internet Archive fonctionne sur des bâtons et qu'il est constamment sur le point de souffrir d'une faille de sécurité catastrophique ? C'est ce qui vient de se produire. Vous êtes 31 millions sur HIBP ! »
« Ce que nous savons : Attaque DDOS - repoussée pour l'instant ; défiguration de notre site web via la bibliothèque JS ; violation des noms d'utilisateur/email/mots de passe cryptés et salés. Ce que nous avons fait : Désactivation de la bibliothèque JS, nettoyage des systèmes, mise à niveau de la sécurité. Nous vous en dirons plus dès que nous en aurons connaissance ».
HIBP est l'acronyme de « Have I Been Pwned ? », un site web qui permet aux internautes de vérifier si leurs informations ont été publiées dans des fuites de données provenant de cyberattaques. L'opérateur de HIBP, Troy Hunt, a confirmé qu'il avait reçu, il y a neuf jours, un fichier contenant « des adresses électroniques, des pseudonymes, des horodatages de changement de mot de passe, des mots de passe hachés par Bcrypt et d'autres données internes » pour 31 millions d'adresses électroniques uniques. Il a assuré que ce fichier était valide en faisant correspondre les données avec le compte d'un utilisateur.What we know: DDOS attack–fended off for now; defacement of our website via JS library; breach of usernames/email/salted-encrypted passwords.
— Brewster Kahle (@brewster_kahle) October 10, 2024
What we’ve done: Disabled the JS library, scrubbing systems, upgrading security.
Will share more as we know it.
Un tweet de HIBP a indiqué que 54 % des comptes figuraient déjà dans sa base de données à la suite de brèches antérieures.
Dans des messages publiés sur son compte, Hunt a donné plus de détails sur la chronologie, depuis le contact avec un membre d'Internet Archive au sujet de la violation le 6 octobre, et la poursuite du processus de divulgation jusqu'à ce que leur site soit défiguré et victime d'un DDoS aujourd'hui, au moment même où ils chargeaient les données dans le HIBP pour commencer à notifier les utilisateurs concernés.
Envoyé par Troy Hunt
Permettez-moi d'en dire plus sur la chronologie de cette affaire :
La date du dernier point semble être une pure coïncidence. Il est également possible que plusieurs parties soient impliquées et, lorsqu'on parle de violation + défiguration + DDoS, il est clair qu'il ne s'agit pas d'une seule attaque.
Évidemment, j'aurais aimé que cette information soit divulguée beaucoup plus tôt, mais étant donné les attaques dont ils font l'objet, je pense que tout le monde devrait leur laisser un peu de répit. Il s'agit d'une association à but non lucratif qui fait du bon travail et qui fournit un service dont beaucoup d'entre nous dépendent fortement.
- 30 septembre : quelqu'un m'envoie la brèche, mais je suis en voyage et je n'ai pas réalisé l'importance de la situation.
- 5 octobre : J'ai l'occasion d'y jeter un coup d'œil - whoa !
- 6 octobre : j'entre en contact avec quelqu'un d'IA [Internet Archive] et lui envoie les données, en l'informant que notre objectif est de les charger dans les 72 heures.
- 7 oct : Ils confirment et je demande un avis de divulgation
- 8 oct : J'assure le suivi de l'avis de divulgation et j'indique que nous chargerons les données demain.
- 9 octobre : le site est défiguré et fait l'objet d'un DDoS, juste au moment où les données sont chargées dans HIBP.
La date du dernier point semble être une pure coïncidence. Il est également possible que plusieurs parties soient impliquées et, lorsqu'on parle de violation + défiguration + DDoS, il est clair qu'il ne s'agit pas d'une seule attaque.
Évidemment, j'aurais aimé que cette information soit divulguée beaucoup plus tôt, mais étant donné les attaques dont ils font l'objet, je pense que tout le monde devrait leur laisser un peu de répit. Il s'agit d'une association à but non lucratif qui fait du bon travail et qui fournit un service dont beaucoup d'entre nous dépendent fortement.
Après avoir fermé le message, le site s'est chargé normalement, bien que lentement.Let me share more on the chronology of this:
— Troy Hunt (@troyhunt) October 9, 2024
30 Sep: Someone sends me the breach, but I'm travelling and didn't realise the significance
5 Oct: I get a chance to look at it - whoa!
6 Oct: I get in contact with someone at IA and send the data, advising it's our goal to load…
À 17h30 (heure française), la fenêtre contextuelle avait disparu, mais le reste du site aussi, ne laissant rien ou un message de remplacement indiquant que « les services de l'Internet Archive sont temporairement hors ligne » et renvoyant les visiteurs au compte du site sur X pour des mises à jour.
On ignore comment les cybercriminels ont pénétré dans l'Internet Archive et si d'autres données ont été volées.
Hier, l'Internet Archive a subi une attaque DDoS, qui a été revendiquée par le groupe hacktiviste BlackMeta, qui affirme qu'il mènera d'autres attaques.
Jason Scott, archiviste et conservateur de logiciels à l'Internet Archive, a confirmé que le site subissait une attaque DDoS, postant sur Mastodon que « d'après leur Twitter, ils le font juste pour le faire. Juste parce qu'ils le peuvent. Pas de déclaration, pas d'idée, pas de demande ».
L'Internet Archive, une ressource que j'utilise quotidiennement pour mes recherches, est en panne à la suite d'une cyberattaque DDoS. Celle-ci fait suite à une autre attaque qui aurait dérobé les identifiants des 31 millions d'utilisateurs. Le groupe hacktiviste BlackMeta a revendiqué cette attaque DDoS idéologique en réponse au soutien des États-Unis à Israël. Je suppose qu'ils n'ont pas compris que l'IA est une organisation à but non lucratif qui n'est ni financée ni liée de quelque manière que ce soit au gouvernement.
C'est le moment de vérifier ou de vous rappeler si vous avez utilisé un mot de passe simple ou réutilisé. Lorsqu'il reviendra, vous devrez très certainement réinitialiser votre mot de passe. Je vois que mes informations d'identification ont été volées dans les données de la brèche. Heureusement que j'ai utilisé un mot de passe généré spécifiquement pour ce site et que je ne l'ai utilisé nulle part ailleurs.
Plus que la Wayback Machine, l'Internet Archive est le seul endroit où un certain nombre de choses que je regarde et lis « vivent » en ligne, comme des livres épuisés et des émissions de télévision qui n'ont jamais été diffusées officiellement.
C'est le moment de vérifier ou de vous rappeler si vous avez utilisé un mot de passe simple ou réutilisé. Lorsqu'il reviendra, vous devrez très certainement réinitialiser votre mot de passe. Je vois que mes informations d'identification ont été volées dans les données de la brèche. Heureusement que j'ai utilisé un mot de passe généré spécifiquement pour ce site et que je ne l'ai utilisé nulle part ailleurs.
Plus que la Wayback Machine, l'Internet Archive est le seul endroit où un certain nombre de choses que je regarde et lis « vivent » en ligne, comme des livres épuisés et des émissions de télévision qui n'ont jamais été diffusées officiellement.
Analyse des causes et des solutionsThe Internet Archive, a resource I use daily for research, is down in the wake of a DDoS cyberattack. This comes after a separate attack which is said to have stolen the credentials of all 31 million users. BlackMeta hacktivist group has claimed responsibility for the… pic.twitter.com/F2R4I5xQjp
— ForgottenTV (@forgottentvshow) October 9, 2024
Cette attaque met en lumière plusieurs failles potentielles dans la sécurité des données d’Archive.org. Les experts suggèrent que l’utilisation de mots de passe hachés, bien que plus sécurisée que les mots de passe en clair, n’est pas suffisante si les algorithmes de hachage ne sont pas robustes. De plus, l’absence de mesures de sécurité avancées, telles que l’authentification multifactorielle, peut rendre les systèmes vulnérables aux attaques.
Pour prévenir de telles attaques à l’avenir, il est crucial que les organisations investissent dans des technologies de sécurité avancées et adoptent des pratiques de gestion des données rigoureuses. Cela inclut l’utilisation de protocoles de chiffrement robustes, la mise en place de systèmes de détection des intrusions et la formation continue du personnel en matière de cybersécurité.
Conclusion
Cette brèche de sécurité met en lumière les défis constants auxquels sont confrontées les organisations qui gèrent des volumes importants de données sensibles. Elle souligne également l’importance de la vigilance et de la mise en place de mesures de sécurité robustes pour protéger les informations des utilisateurs. À une époque où les cyberattaques sont de plus en plus fréquentes et sophistiquées, il est essentiel que les organisations adoptent une approche proactive en matière de cybersécurité.
Source : HIBP
Et vous ?
Avez-vous déjà utilisé Archive.org ? Dans quel but ? Qu'en avez-vous pensé ? Disposez-vous d'un compte sur le site ? Pensez-vous que les utilisateurs devraient être plus proactifs dans la gestion de leurs mots de passe et de leur sécurité en ligne ? Pourquoi ? Comment les entreprises peuvent-elles mieux protéger les données de leurs utilisateurs contre les cyberattaques ? Voyez-vous des solutions technologiques émergentes qui pourraient aider à prévenir de telles attaques à l’avenir ? Comment cette attaque pourrait-elle influencer les politiques de cybersécurité des autres grandes plateformes en ligne ? 
