Amazon : des pirates exploitent le Border Gateway Protocol pour détourner le trafic pendant deux heures,
près de 13 000 adresses IP redirigées

Amazon a été victime d’une cyberattaque ce mardi entre 11 heures et 13 heures. Les pirates ont redirigé près de 13 000 adresses IP d'Amazon Route 53, le plus grand fournisseur de Cloud commercial.

Nom : amazon.jpg
Affichages : 8056
Taille : 31,5 Ko

Les hackers ont visiblement piraté le service d'Amazon dans le but de se faire de l’argent. Ils ont trompé la vigilance de plusieurs utilisateurs et leur ont volé environ 150 000 dollars en se faisant passer pour MyEtherWallet.com, un site de cryptomonnaie. Les pirates n’ayant pas pu obtenir de certificat SSL, les victimes auraient pu se douter de la crédibilité du site web sur lequel elles ont été redirigées.

Amazon rassure sa clientèle en affirmant dans un communiqué qu' : « aucun d’entre AZW et Amazon Route 53 n’a été piraté ou compromis. Un tiers fournisseur de services Internet avait été compromis en amont par un acteur malveillant qui a ensuite utilisé ce fournisseur pour annoncer un sous-ensemble d’adresses IP de Route 53 sur d’autres réseaux auxquels est lié le fournisseur. Ces réseaux, n’étant pas au courant de la situation, ont accepté ces annonces et ont malheureusement redirigé un faible pourcentage du trafic du domaine d’un fournisseur vers une copie illicite de ce domaine. »

Ce genre de situations s’était produit plusieurs fois dans le passé dont deux, l’an dernier où le trafic de plusieurs grandes sociétés américaines avait été détourné par des prestataires de services russes. Du coup, il se pourrait que la cyberattaque d’Amazon soit imputée à la Russie, car le chercheur en sécurité Kevin Beaumont a déclaré dans un article que l’une des redirections de MyEtherWallet pointait vers un serveur situé là-bas. Beaumont affirme également que « le portefeuille des hackers contenait déjà environ 17 millions de dollars de monnaies numériques. »

Beaumont affirme que « le serveur utilisé dans cet incident n'était pas un serveur Equinix, mais plutôt un équipement client déployé dans l'un de nos centres de données IBX à Chicago. Equinix a pour principale activité de fournir de l'espace, de l'électricité et un environnement interconnecté sécurisé à plus de 9800 clients dans 200 centres de données à travers le monde. Nous n'avons généralement pas de visibilité ou de contrôle sur ce que nos clients – ou clients de nos clients – font avec leur équipement. Notre rôle est de fournir le meilleur environnement possible à nos clients pour transformer leur entreprise. Grâce à notre blog et à d'autres ressources destinées aux clients, nous offrons des conseils et meilleures pratiques à nos clients sur une variété de sujets liés au déploiement de leur infrastructure numérique, y compris la sécurité ». Il pense aussi que « monter une attaque de cette ampleur nécessite l'accès aux routeurs BGP des principaux fournisseurs de services Internet et de véritables ressources informatiques pour faire face à tant de trafic DNS. »

Il est évident qu’une telle attaque puisse être utilisée à d’autres fins. Il revient donc aux internautes d’être beaucoup plus prudents en s’assurant d’être au bon endroit et aussi en vérifiant les certificats SSL des sites web.


Source : Double Pulsar


Et vous ?

Que pensez-vous de cette cyberattaque ?