Archive.org, le référentiel stockant l'histoire de l'Internet, victime d'une cyberattaque : 31 millions de comptes utilisateurs compromis,

Adresses e-mail et mots de passe exposés

Le 9 octobre 2024, Archive.org, l’un des plus grands dépôts numériques conservant l’histoire complète d’Internet, a été victime d’une cyberattaque majeure. Cette attaque a compromis les données de 31 millions d’utilisateurs, révélant des adresses e-mail et des mots de passe hachés. L’attaque a été découverte après que des utilisateurs ont remarqué des messages inhabituels sur la page d’accueil d’Archive.org. Ces messages indiquaient que les données de millions d’utilisateurs avaient été exposées et redirigeaient vers le site “Have I Been Pwned” (HIBP), un service permettant de vérifier si des informations personnelles ont été compromises.

Ceux qui ont visité The Internet Archive (www.archive.org) mercredi ont été accueilli par un pop-up affirmant que le site avait été piraté. Peu après 21 heures (heure française), Brewster Kahle, fondateur d'Internet Archive, a confirmé l'intrusion et indiqué que le site Web avait été défiguré par la notification via une bibliothèque JavaScript.

Voici ce que disait la fenêtre contextuelle :

« Avez-vous déjà eu l'impression que l'Internet Archive fonctionne sur des bâtons et qu'il est constamment sur le point de souffrir d'une faille de sécurité catastrophique ? C'est ce qui vient de se produire. Vous êtes 31 millions sur HIBP ! »


« Ce que nous savons : Attaque DDOS - repoussée pour l'instant ; défiguration de notre site web via la bibliothèque JS ; violation des noms d'utilisateur/email/mots de passe cryptés et salés. Ce que nous avons fait : Désactivation de la bibliothèque JS, nettoyage des systèmes, mise à niveau de la sécurité. Nous vous en dirons plus dès que nous en aurons connaissance ».

[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">What we know: DDOS attack–fended off for now; defacement of our website via JS library; breach of usernames/email/salted-encrypted passwords.<br><br>What we’ve done: Disabled the JS library, scrubbing systems, upgrading security.<br><br>Will share more as we know it.</p>&mdash; Brewster Kahle (@brewster_kahle) <a href="https://twitter.com/brewster_kahle/status/1844183111514603812?ref_src=twsrc%5Etfw">October 10, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]

HIBP est l'acronyme de « Have I Been Pwned ? », un site web qui permet aux internautes de vérifier si leurs informations ont été publiées dans des fuites de données provenant de cyberattaques. L'opérateur de HIBP, Troy Hunt, a confirmé qu'il avait reçu, il y a neuf jours, un fichier contenant « des adresses électroniques, des pseudonymes, des horodatages de changement de mot de passe, des mots de passe hachés par Bcrypt et d'autres données internes » pour 31 millions d'adresses électroniques uniques. Il a assuré que ce fichier était valide en faisant correspondre les données avec le compte d'un utilisateur.


Un tweet de HIBP a indiqué que 54 % des comptes figuraient déjà dans sa base de données à la suite de brèches antérieures.


Dans des messages publiés sur son compte, Hunt a donné plus de détails sur la chronologie, depuis le contact avec un membre d'Internet Archive au sujet de la violation le 6 octobre, et la poursuite du processus de divulgation jusqu'à ce que leur site soit défiguré et victime d'un DDoS aujourd'hui, au moment même où ils chargeaient les données dans le HIBP pour commencer à notifier les utilisateurs concernés.

[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Let me share more on the chronology of this:<br><br>30 Sep: Someone sends me the breach, but I'm travelling and didn't realise the significance<br>5 Oct: I get a chance to look at it - whoa!<br>6 Oct: I get in contact with someone at IA and send the data, advising it's our goal to load…</p>&mdash; Troy Hunt (@troyhunt) <a href="https://twitter.com/troyhunt/status/1844148532703526928?ref_src=twsrc%5Etfw">October 9, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]

Après avoir fermé le message, le site s'est chargé normalement, bien que lentement.

À 17h30 (heure française), la fenêtre contextuelle avait disparu, mais le reste du site aussi, ne laissant rien ou un message de remplacement indiquant que « les services de l'Internet Archive sont temporairement hors ligne » et renvoyant les visiteurs au compte du site sur X pour des mises à jour.

On ignore comment les cybercriminels ont pénétré dans l'Internet Archive et si d'autres données ont été volées.

Hier, l'Internet Archive a subi une attaque DDoS, qui a été revendiquée par le groupe hacktiviste BlackMeta, qui affirme qu'il mènera d'autres attaques.

Jason Scott, archiviste et conservateur de logiciels à l'Internet Archive, a confirmé que le site subissait une attaque DDoS, postant sur Mastodon que « d'après leur Twitter, ils le font juste pour le faire. Juste parce qu'ils le peuvent. Pas de déclaration, pas d'idée, pas de demande ».

[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">The Internet Archive, a resource I use daily for research, is down in the wake of a DDoS cyberattack. This comes after a separate attack which is said to have stolen the credentials of all 31 million users. BlackMeta hacktivist group has claimed responsibility for the… <a href="https://t.co/F2R4I5xQjp">pic.twitter.com/F2R4I5xQjp</a></p>&mdash; ForgottenTV (@forgottentvshow) <a href="https://twitter.com/forgottentvshow/status/1844154682253389839?ref_src=twsrc%5Etfw">October 9, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]

Analyse des causes et des solutions

Cette attaque met en lumière plusieurs failles potentielles dans la sécurité des données d’Archive.org. Les experts suggèrent que l’utilisation de mots de passe hachés, bien que plus sécurisée que les mots de passe en clair, n’est pas suffisante si les algorithmes de hachage ne sont pas robustes. De plus, l’absence de mesures de sécurité avancées, telles que l’authentification multifactorielle, peut rendre les systèmes vulnérables aux attaques.

Pour prévenir de telles attaques à l’avenir, il est crucial que les organisations investissent dans des technologies de sécurité avancées et adoptent des pratiques de gestion des données rigoureuses. Cela inclut l’utilisation de protocoles de chiffrement robustes, la mise en place de systèmes de détection des intrusions et la formation continue du personnel en matière de cybersécurité.

Conclusion

Cette brèche de sécurité met en lumière les défis constants auxquels sont confrontées les organisations qui gèrent des volumes importants de données sensibles. Elle souligne également l’importance de la vigilance et de la mise en place de mesures de sécurité robustes pour protéger les informations des utilisateurs. À une époque où les cyberattaques sont de plus en plus fréquentes et sophistiquées, il est essentiel que les organisations adoptent une approche proactive en matière de cybersécurité.

Source : HIBP

Et vous ?

Avez-vous déjà utilisé Archive.org ? Dans quel but ? Qu'en avez-vous pensé ? Disposez-vous d'un compte sur le site ?
Pensez-vous que les utilisateurs devraient être plus proactifs dans la gestion de leurs mots de passe et de leur sécurité en ligne ? Pourquoi ?
Comment les entreprises peuvent-elles mieux protéger les données de leurs utilisateurs contre les cyberattaques ?
Voyez-vous des solutions technologiques émergentes qui pourraient aider à prévenir de telles attaques à l’avenir ?
Comment cette attaque pourrait-elle influencer les politiques de cybersécurité des autres grandes plateformes en ligne ?