Internet Archive et Wayback Machine ont été mis hors service à la suite d'une cyberattaque majeure. Un groupe d'hacktivistes appelé SN_BLACKMETA affirme avoir mené l'attaque dans le but de protester contre le soutien des États-Unis aux agissements d'Israël au Moyen-Orient. Le fondateur du service en ligne HBIP (Have I Been Pwned) a décrit la chronologie des événements et a déclaré qu'un acteur de la menace a partagé avec lui une base de données de 6,4 Go qui semble provenir d'Internet Archive. Elle contiendrait des adresses électroniques, des identifiants, des mots de passe chiffrés en Bcrypt des utilisateurs enregistrés d'Internet Archive.Revendication et raisons derrière des cyberattaques contre Internet Archive
Un groupe d'hacktivistes propalestiniens appelé SN_BLACKMETA a revendiqué l'attaque dans des billets publiés sur X et sur Telegram. « Ils sont attaqués parce que les archives appartiennent aux États-Unis et, comme nous le savons tous, ce gouvernement horrible et hypocrite soutient le génocide perpétré par l'État terroriste d'Israël », a écrit le groupe dans un billet sur X lorsque quelqu'un lui a demandé pourquoi il s'en était pris aux archives. Le billet du groupe expliquant son raisonnement sur X a été supprimé. Jason Scott, un membre d'Internet Archive, a fait une capture d'écran du message et l'a partagée.
« Tout le monde dit que cette organisation est à but non lucratif, mais si ses racines sont vraiment aux États-Unis, comme nous le croyons, alors chaque service gratuit qu'elle offre saigne des millions de vies. Les nations étrangères ne portent pas leurs valeurs au-delà de leurs frontières. De nombreux petits enfants pleurent dans les commentaires et la plupart de ces commentaires proviennent d'un groupe de robots sionistes et de faux comptes », dit le message.
SN_BLACKMETA a également revendiqué une attaque DDoS de six jours contre Internet Archive en mai dernier. « Depuis que les attaques ont commencé dimanche, l'intrusion DDoS a lancé des dizaines de milliers de fausses demandes d'information par seconde. La source de l'attaque est inconnue », note Chris Freeland, directeur des services de bibliothèque d'Internet Archive, dans un message sur les attaques enregistrées au mois de mai de cette année.
Jason Scott a déclaré que l'attaque n'était qu'une démonstration des capacités de SN_BLACKMETA. « Ils le font juste pour le faire. Juste parce qu'ils le peuvent. Pas de déclaration, pas d'idée, pas d'exigence », a-t-il déclaré. Jason Scott a fait référence à un message posté par un canal nommé SN_BLACKMETA sur Telegram, qui revendique l'attaque et laisse entendre qu'une nouvelle attaque est prévue pour vendredi 11 octobre, sans donner d'autres détails.
[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Imagine a group of children dealing with psychological and mental disorders, confused about their identity, suffering from deviant tendencies, trying to tell us what's right and wrong and how to help Palestine the correct way. Keep your advice and petty comments to yourselves.… <a href="https://t.co/WHDFtIdxTh">pic.twitter.com/WHDFtIdxTh</a></p>— 𝐒𝐍_𝐁𝐋𝐀𝐂𝐊𝐌𝐄𝐓𝐀 (@Sn_darkmeta) <a href="https://twitter.com/Sn_darkmeta/status/1844186326788112810?ref_src=twsrc%5Etfw">October 10, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]
SN_BLACKMETA a lancé son canal Telegram le 23 novembre 2023 et a revendiqué un certain nombre d'autres attaques, notamment une attaque DDoS de six jours contre des institutions financières arabes et diverses attaques contre des entreprises technologiques israéliennes au printemps. Il est connu pour ses attaques DDoS contre des entreprises du classement Fortune 500 et partage ses mises à jour en russe et en arabe sur les canaux Telegram.
La dernière attaque du groupe remonte au mois d'août 2024. SN_BLACKMETA a annoncé avoir perturbé le réseau de télécommunications de l'Arabie saoudite pendant trois heures. En mai, il a revendiqué la mise hors service du site Web de la compagnie aérienne Air France.
Piratage d'Internet Archive et de Wayback Machine : que s'est-il passé ?
Des pirates informatiques ont compromis l'historique d'Internet, la Wayback Machine d'Internet Archive, à travers une cyberattaque massive par déni de service distribué (DDoS). Selon les analystes, il n'est pas certain que les deux incidents de sécurité, la compromission de la base de données d'authentification d'Internet Archive contenant les détails des membres enregistrés, y compris les mots de passe hachés, et l'attaque DDoS, soient liés. Toutefois, les preuves semblent indiquer qu'il s'agit d'une attaque ciblée par le même acteur. Des experts affirment qu'il s'agit d'une cyberattaque majeure préoccupante.
[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Let me share more on the chronology of this:<br><br>30 Sep: Someone sends me the breach, but I'm travelling and didn't realise the significance<br>5 Oct: I get a chance to look at it - whoa!<br>6 Oct: I get in contact with someone at IA and send the data, advising it's our goal to load…</p>— Troy Hunt (@troyhunt) <a href="https://twitter.com/troyhunt/status/1844148532703526928?ref_src=twsrc%5Etfw">October 9, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]
Le premier indice que quelque chose n'allait pas est venu du service lui-même, avec l'affichage d'une fenêtre de notification JavaScript pour les visiteurs du site archive.org : « avez-vous déjà eu l'impression qu'Internet Archive fonctionne sur des bâtons et qu'il est constamment sur le point de souffrir d'une faille de sécurité catastrophique ? C'est ce qui vient de se produire. Rendez-vous à 31 millions d'entre vous sur HIBP ! ». De nombreux rapports ont suivi.
HIBP est l'acronyme de « Have I Been Pwned », un site Web qui permet de vérifier si une adresse électronique a été compromise à la suite d'une violation de données. Dans un billet publié sur X, le fondateur de HIBP, Troy Hunt, a décrit la chronologie des événements et a déclaré que l'acteur de la menace avait partagé une base de données de 6,4 Go avec eux il y a quelques jours. Cette base de données d'authentification semblait provenir d'Internet Archive.
« Elle contiendrait des informations d'authentification pour les membres inscrits, y compris leurs adresses électroniques, leurs pseudonymes, les horodatages de changement de mot de passe, les mots de passe hachés Bcrypt et d'autres données internes », a déclaré Troy Hunt à Bleeping Computer . Le dernier horodatage de cette base de données donne un indice sur la date de la violation, à savoir le 18 septembre. Dans son billet sur X, Troy hunt explique :
Envoyé par Troy Hun
Permettez-moi d'en dire plus sur la chronologie de cette affaire :
- 30 septembre : quelqu'un m'envoie la brèche, mais je suis en voyage et je n'ai pas réalisé l'importance de la situation ;
- 5 octobre : j'ai l'occasion d'y jeter un coup d'œil ;
- 6 octobre : j'entre en contact avec quelqu'un de l'IA [Internet Archive] et lui envoie les données, en l'informant que notre objectif est de les charger dans les 72 heures ;
- 7 octobre : ils confirment et je demande un avis de divulgation ;
- 8 octobre : j'assure le suivi de l'avis de divulgation et j'indique que nous chargerons les données demain ;
- 9 octobre : le site est défiguré et fait l'objet d'un DDoS. Ils sont défigurés et victimes d'un DDoS, juste au moment où les données sont chargées dans HIBP.
La date du dernier point semble être une pure coïncidence. Il est également possible que plusieurs parties soient impliquées et lorsqu'on parle de violation + défiguration + DDoS, il est clair qu'il ne s'agit pas d'une seule attaque.
Selon Troy Hunt, la base de données contient 31 millions d'enregistrements qui seront bientôt ajoutés à son service HIBP afin de permettre aux utilisateurs de vérifier si leurs données ont été exposées dans le cadre de cette attaque. Sur la base des preuves disponibles jusqu'à présent, Jason Meller, vice-président des produits chez 1Password et ancien stratège en chef de la sécurité chez Mandiant, affirme que la base de données d'Internet Archive a été exfiltrée.
Jason Meller a déclaré : « cela indique que l'infrastructure dorsale était accessible, et que leurs pages ont été défigurées, ce qui suggère que les attaquants ont un certain degré de contrôle sur le contenu Web servi aux utilisateurs ». Jason Meller a ajouté que le site Web ayant été mis hors ligne à plusieurs reprises, cela suggère que l'acteur de la menace a pris le contrôle de la couche réseau. Cette cyberattaque suscite de nombreuses préoccupations.
Potentielles implications du piratage d'Internet Archive
La bibliothèque numérique Internet Archive a été fondée en 1996 avec pour mission de fournir « un accès universel à toutes les connaissances ». Elle conserve des milliards de pages Web, de textes, d'enregistrements audio, de vidéos et d'applications logicielles. Son service le plus utilisé est Wayback Machine, un outil qui permet aux utilisateurs de parcourir des versions archivées de sites Web tels qu'ils sont apparus à différents moments de l'histoire, avec des instantanés de pages Web remontant aux premiers jours de l'Internet. Le site a été fondé par Brewster Kahle, informaticien et homme d'affaires américain.
Le travail du groupe va au-delà et comprend des collaborations avec des musées, des bibliothèques et des donateurs privés, ce qui a permis de constituer une collection de 145 pétaoctets de contenu, y compris d'anciens logiciels, jeux vidéo, programmes radio et enregistrements de concerts. Actuellement, les archives font l'objet d'un important procès pour violation des droits d'auteur liés au prêt gratuit de livres numériques pendant la pandémie de Covid-19.
Par ailleurs, la compromission d'une telle ressource pourrait en effet avoir de graves conséquences sur notre capacité à conserver l'historique du Web et d'Internet. À l'heure où nous écrivons ces lignes, les adresses "archive.org" et "openlibrary.org" n’ont toujours pas été rétablies. La première renvoie une page indiquant « Les services d'Internet Archive sont temporairement hors ligne » et la seconde renvoie une erreur de « type timed out ».
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous des motivations du groupe d'hacktivistes ayant revendiqué l'attaque contre Internet Archive ? Selon vous, quelles pourraient être les implications de cette cyberattaque contre Internet Archive et Wayback Machine ? Causer des dommages à une bibliothèque numérique utile pour tous, y compris les hacktivistes eux-mêmes, est-il un moyen idéal de contestation ?Voir aussi
Archive.org, le référentiel stockant l'histoire de l'Internet, victime d'une cyberattaque : 31 millions de comptes utilisateurs compromis, adresses e-mail et mots de passe exposés Le groupe de cybercriminels Hacktiviste "Gay furry hackers" publie deux gigaoctets de données piratées du Projet 2025 de la Fondation Heritage, des conservateurs favorable à Donald Trump Les attaques DDoS se multiplient : elles sont motivées par des considérations politiques visant à bloquer les utilisateurs et à provoquer un chaos numérique, en ciblant l'infrastructure et les sites web 
c'est évident que je vais avoir envie de rejoindre la cgt si ils défendent la Palestine.
