Internet Archive et Wayback Machine ont été mis hors service à la suite d'une cyberattaque majeure. Un groupe d'hacktivistes appelé SN_BLACKMETA affirme avoir mené l'attaque dans le but de protester contre le soutien des États-Unis aux agissements d'Israël au Moyen-Orient. Le fondateur du service en ligne HBIP (Have I Been Pwned) a décrit la chronologie des événements et a déclaré qu'un acteur de la menace a partagé avec lui une base de données de 6,4 Go qui semble provenir d'Internet Archive. Elle contiendrait des adresses électroniques, des identifiants, des mots de passe chiffrés en Bcrypt des utilisateurs enregistrés d'Internet Archive.Revendication et raisons derrière des cyberattaques contre Internet Archive
Un groupe d'hacktivistes propalestiniens appelé SN_BLACKMETA a revendiqué l'attaque dans des billets publiés sur X et sur Telegram. « Ils sont attaqués parce que les archives appartiennent aux États-Unis et, comme nous le savons tous, ce gouvernement horrible et hypocrite soutient le génocide perpétré par l'État terroriste d'Israël », a écrit le groupe dans un billet sur X lorsque quelqu'un lui a demandé pourquoi il s'en était pris aux archives. Le billet du groupe expliquant son raisonnement sur X a été supprimé. Jason Scott, un membre d'Internet Archive, a fait une capture d'écran du message et l'a partagée.
« Tout le monde dit que cette organisation est à but non lucratif, mais si ses racines sont vraiment aux États-Unis, comme nous le croyons, alors chaque service gratuit qu'elle offre saigne des millions de vies. Les nations étrangères ne portent pas leurs valeurs au-delà de leurs frontières. De nombreux petits enfants pleurent dans les commentaires et la plupart de ces commentaires proviennent d'un groupe de robots sionistes et de faux comptes », dit le message.
SN_BLACKMETA a également revendiqué une attaque DDoS de six jours contre Internet Archive en mai dernier. « Depuis que les attaques ont commencé dimanche, l'intrusion DDoS a lancé des dizaines de milliers de fausses demandes d'information par seconde. La source de l'attaque est inconnue », note Chris Freeland, directeur des services de bibliothèque d'Internet Archive, dans un message sur les attaques enregistrées au mois de mai de cette année.
Jason Scott a déclaré que l'attaque n'était qu'une démonstration des capacités de SN_BLACKMETA. « Ils le font juste pour le faire. Juste parce qu'ils le peuvent. Pas de déclaration, pas d'idée, pas d'exigence », a-t-il déclaré. Jason Scott a fait référence à un message posté par un canal nommé SN_BLACKMETA sur Telegram, qui revendique l'attaque et laisse entendre qu'une nouvelle attaque est prévue pour vendredi 11 octobre, sans donner d'autres détails.
Imagine a group of children dealing with psychological and mental disorders, confused about their identity, suffering from deviant tendencies, trying to tell us what's right and wrong and how to help Palestine the correct way. Keep your advice and petty comments to yourselves.… pic.twitter.com/WHDFtIdxTh
— 𝐒𝐍_𝐁𝐋𝐀𝐂𝐊𝐌𝐄𝐓𝐀 (@Sn_darkmeta) October 10, 2024
SN_BLACKMETA a lancé son canal Telegram le 23 novembre 2023 et a revendiqué un certain nombre d'autres attaques, notamment une attaque DDoS de six jours contre des institutions financières arabes et diverses attaques contre des entreprises technologiques israéliennes au printemps. Il est connu pour ses attaques DDoS contre des entreprises du classement Fortune 500 et partage ses mises à jour en russe et en arabe sur les canaux Telegram.
La dernière attaque du groupe remonte au mois d'août 2024. SN_BLACKMETA a annoncé avoir perturbé le réseau de télécommunications de l'Arabie saoudite pendant trois heures. En mai, il a revendiqué la mise hors service du site Web de la compagnie aérienne Air France.
Piratage d'Internet Archive et de Wayback Machine : que s'est-il passé ?
Des pirates informatiques ont compromis l'historique d'Internet, la Wayback Machine d'Internet Archive, à travers une cyberattaque massive par déni de service distribué (DDoS). Selon les analystes, il n'est pas certain que les deux incidents de sécurité, la compromission de la base de données d'authentification d'Internet Archive contenant les détails des membres enregistrés, y compris les mots de passe hachés, et l'attaque DDoS, soient liés. Toutefois, les preuves semblent indiquer qu'il s'agit d'une attaque ciblée par le même acteur. Des experts affirment qu'il s'agit d'une cyberattaque majeure préoccupante.
Let me share more on the chronology of this:
— Troy Hunt (@troyhunt) October 9, 2024
30 Sep: Someone sends me the breach, but I'm travelling and didn't realise the significance
5 Oct: I get a chance to look at it - whoa!
6 Oct: I get in contact with someone at IA and send the data, advising it's our goal to load…
Le premier indice que quelque chose n'allait pas est venu du service lui-même, avec l'affichage d'une fenêtre de notification JavaScript pour les visiteurs du site archive.org : « avez-vous déjà eu l'impression qu'Internet Archive fonctionne sur des bâtons et qu'il est constamment sur le point de souffrir d'une faille de sécurité catastrophique ? C'est ce qui vient de se produire. Rendez-vous à 31 millions d'entre vous sur HIBP ! ». De nombreux rapports ont suivi.
HIBP est l'acronyme de « Have I Been Pwned », un site Web qui permet de vérifier si une adresse électronique a été compromise à la suite d'une violation de données. Dans un billet publié sur X, le fondateur de HIBP, Troy Hunt, a décrit la chronologie des événements et a déclaré que l'acteur de la menace avait partagé une base de données de 6,4 Go avec eux il y a quelques jours. Cette base de données d'authentification semblait provenir d'Internet Archive.
« Elle contiendrait des informations d'authentification pour les membres inscrits, y compris leurs adresses électroniques, leurs pseudonymes, les horodatages de changement de mot de passe, les mots de passe hachés Bcrypt et d'autres données internes », a déclaré Troy Hunt à Bleeping Computer . Le dernier horodatage de cette base de données donne un indice sur la date de la violation, à savoir le 18 septembre. Dans son billet sur X, Troy hunt explique :
Envoyé par Troy Hun
Permettez-moi d'en dire plus sur la chronologie de cette affaire :
- 30 septembre : quelqu'un m'envoie la brèche, mais je suis en voyage et je n'ai pas réalisé l'importance de la situation ;
- 5 octobre : j'ai l'occasion d'y jeter un coup d'œil ;
- 6 octobre : j'entre en contact avec quelqu'un de l'IA [Internet Archive] et lui envoie les données, en l'informant que notre objectif est de les charger dans les 72 heures ;
- 7 octobre : ils confirment et je demande un avis de divulgation ;
- 8 octobre : j'assure le suivi de l'avis de divulgation et j'indique que nous chargerons les données demain ;
- 9 octobre : le site est défiguré et fait l'objet d'un DDoS. Ils sont défigurés et victimes d'un DDoS, juste au moment où les données sont chargées dans HIBP.
La date du dernier point semble être une pure coïncidence. Il est également possible que plusieurs parties soient impliquées et lorsqu'on parle de violation + défiguration + DDoS, il est clair qu'il ne s'agit pas d'une seule attaque.
Selon Troy Hunt, la base de données contient 31 millions d'enregistrements qui seront bientôt ajoutés à son service HIBP afin de permettre aux utilisateurs de vérifier si leurs données ont été exposées dans le cadre de cette attaque. Sur la base des preuves...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
c'est évident que je vais avoir envie de rejoindre la cgt si ils défendent la Palestine.
Quel est votre avis sur le sujet ?
