IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 469
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 469
    Points : 155 331
    Points
    155 331
    Par défaut Une faille dans un site Web géré par le FBI a permis à un hacker d'utiliser l'adresse e-mail légitime du FBI
    Une faille dans un site Web géré par le FBI a permis à un hacker d'utiliser l'adresse e-mail légitime du FBI,
    pour envoyer de faux avertissements de cybersécurité à plus de 100 000 comptes

    Le Federal Bureau of Investigation (FBI) a confirmé que son nom de domaine fbi.gov et son adresse Internet ont été utilisés pour envoyer des milliers de faux courriels concernant une enquête sur la cybercriminalité. Selon une interview avec la personne qui a revendiqué la responsabilité du canular, les messages de spam ont été envoyés en abusant d'un code non sécurisé dans un portail en ligne du FBI conçu pour partager des informations avec les autorités nationales et locales chargées de l'application des lois.

    Un hacker a accédé au système de messagerie du FBI et a envoyé du spam à 100 000 comptes samedi, selon le projet Spamhaus, un groupe de surveillance du spam. L'organisation a publié sur Twitter un exemple d'un des e-mails envoyés à des milliers de comptes. L'e-mail porte le sujet « Urgent : acteur de la menace dans les systèmes » et prétend provenir d'une division de cybersécurité du Department of Homeland Security.

    Nom : exemple.png
Affichages : 1489
Taille : 110,9 Ko

    L'e-mail prétend avertir les destinataires d'une « exfiltration » potentielle des données de leurs systèmes par l'expert en cybersécurité Vinny Troia et le groupe de cybercriminels The Dark Overlord. En réalité, Troia est un éminent chercheur en cybersécurité qui dirige deux sociétés de sécurité sur le dark web : NightLion et Shadowbyte.

    Le hacker a réussi à envoyer des e-mails à plus de 100 000 adresses, qui ont toutes été extraites de la base de données ARIN (American Registry for Internet Numbers).

    Spamhaus a déclaré :

    « Nous avons été mis au courant d'e-mails "effrayants" envoyés au cours des dernières heures qui prétendent provenir du FBI/DHS. Bien que les e-mails soient effectivement envoyés depuis une infrastructure appartenant au FBI/DHS (le portail LEEP), nos recherches montrent que ces e-mails sont faux. Ces faux e-mails d'avertissement sont apparemment envoyés à des adresses extraites de la base de données ARIN. Ils causent beaucoup de perturbations parce que les en-têtes sont réels, ils proviennent vraiment de l'infrastructure du FBI. Ils n'ont pas de nom ou d'informations de contact dans le .sig. S'il vous plaît méfiez-vous ! »

    Bien que le matériel affecté par l'incident « ait été mis hors ligne rapidement dès la découverte du problème », a déclaré le FBI, « il s'agit d'une situation continue » :
    « Le FBI et la CISA [la Cybersecurity and Infrastructure Security Agency] sont au courant de l'incident de ce matin impliquant de faux e-mails provenant d'un compte de messagerie @ic.fbi.gov », lit-on dans le communiqué du FBI. « Il s'agit d'une situation continue et nous ne sommes pas en mesure de fournir des informations supplémentaires pour le moment. Le matériel concerné a été mis hors ligne rapidement dès la découverte du problème. Nous continuons d'encourager le public à se méfier des expéditeurs inconnus et nous vous exhortons à signaler toute activité suspecte à www.ic3.gov ou www.cisa.gov ».

    Le chercheur en cybersécurité Kevin Beaumont atteste également de l'apparence légitime de l'e-mail, déclarant que les en-têtes sont authentifiés comme provenant des serveurs du FBI à l'aide du processus DKIM (Domain Keys Identified Mail) qui fait partie du système utilisé par Gmail pour coller les logos de la marque sur les e-mails d'entreprise vérifiés.

    Nom : kevin.png
Affichages : 1411
Taille : 32,5 Ko

    Un examen des en-têtes de message de l'e-mail a indiqué qu'il avait bien été envoyé par le FBI et à partir de la propre adresse Internet de l'agence. Le domaine dans la partie « de : » de l'e-mail que vous pouvez voir (eims@ic.fbi.gov) correspond à la division des services d'information sur la justice pénale (CJIS - Criminal Justice Information Services) du FBI.

    Selon le ministère de la Justice :

    « Le CJIS gère et exploite plusieurs systèmes nationaux d'information sur la criminalité utilisés par la communauté de la sécurité publique à des fins criminelles et civiles. Les systèmes CJIS sont à la disposition de la communauté de la justice pénale, y compris les forces de l'ordre, les prisons, les procureurs, les tribunaux, ainsi que les services de probation et de mise en état. Les systèmes CJIS sont également disponibles pour les agences de justice non pénale à des fins civiles spécifiquement autorisées, telles que le dépistage du placement d'enfants, l'emploi, le logement et l'octroi de licences.

    Des agences à travers les États-Unis soumettent des informations aux systèmes CJIS et obtiennent des informations de ces derniers. Cet échange d'informations est essentiel à la sécurité publique. Le Federal Bureau of Investigation (FBI) maintient les systèmes hôtes et fournit un réseau de télécommunications à un CSA dans chacun des 50 États, le District de Columbia, les territoires, le Canada et les agences fédérales, y compris le DOJ. Les CSA donnent accès aux systèmes CJIS ainsi qu'aux Nlets ».

    Un code non sécurisé

    Selon une interview avec la personne qui a revendiqué la responsabilité du canular, et qui répond au pseudonyme Pompompurin sur Twitter, les messages de spam ont été envoyés en abusant d'un code non sécurisé dans un portail en ligne du FBI conçu pour partager des informations avec les autorités nationales et locales chargées de l'application des lois.

    Dans une interview, Pompompurin a déclaré que le piratage avait été fait pour souligner une vulnérabilité flagrante dans le système du FBI :

    « J'aurais pu utiliser cela à 1000 % pour envoyer des e-mails plus légitimes, inciter les entreprises à transmettre des données, etc. », a déclaré Pompompurin. « Et cela n'aurait jamais été trouvé par quiconque aurait divulgué de manière responsable, en raison de l'avis que les autorités ont publié sur leur site Web ».

    Pompompurin dit que l'accès illicite au système de messagerie du FBI a commencé par une exploration de son portail d'entreprise d'application de la loi (LEEP - Law Enforcement Enterprise Portal), que le bureau décrit comme « une passerelle permettant aux organismes chargés de l'application de la loi, aux groupes de renseignement et aux entités de justice pénale d'accéder à des ressources utiles ».

    Nom : leep.png
Affichages : 1429
Taille : 157,9 Ko

    « Ces ressources renforceront le développement de cas pour les enquêteurs, amélioreront le partage d'informations entre les agences et seront accessibles dans un emplacement centralisé ! », s'enthousiasme le site du FBI.

    Jusqu'à samedi matin, le portail LEEP permettait à n'importe qui de demander un compte. Des instructions détaillées pour l'enregistrement d'un nouveau compte sur le portail LEEP sont également disponibles sur le site Web du DOJ. Il convient de noter que « l'étape 1 » de ces instructions consiste à visiter le site dans Internet Explorer de Microsoft, un navigateur Web obsolète que même Microsoft n'encourage plus les gens à utiliser pour des raisons de sécurité.

    Une grande partie de ce processus consiste à remplir des formulaires avec les informations personnelles et de contact du demandeur, ainsi que celles de son organisation. Une étape critique de ce processus indique que les candidats recevront une confirmation par e-mail de eims@ic.fbi.gov avec un code d'accès à usage unique (apparemment pour valider que le candidat peut recevoir des e-mails sur le domaine en question).

    Mais selon Pompompurin, le propre site Web du FBI a divulgué ce mot de passe à usage unique dans le code HTML de la page Web.

    Nom : capture.png
Affichages : 1435
Taille : 94,9 Ko

    Pompompurin a déclaré avoir pu s'envoyer un e-mail depuis eims@ic.fbi.gov en modifiant la demande envoyée à son navigateur et en modifiant le texte dans les champs « Sujet » et « Contenu texte » du message.

    « Fondamentalement, lorsque vous avez demandé le code de confirmation, [il] a été généré côté client, puis vous a été envoyé via une demande POST », a déclaré Pompompurin. « Cette demande de publication comprend les paramètres de l'objet de l'e-mail et du contenu du corps ».

    Pompompurin a déclaré qu'un simple script remplaçait ces paramètres par son propre sujet et corps de message, et automatisait l'envoi du message canular à des milliers d'adresses e-mail.

    « Inutile de dire que c'est une chose horrible à voir sur n'importe quel site Web », a déclaré Pompompurin. « Je l'ai vu plusieurs fois auparavant, mais jamais sur un site Web gouvernemental, encore moins un site géré par le FBI ».

    Comme nous pouvons le voir sur la première capture d'écran, le message canular de Pompompurin ressemble à une tentative visant à salir le nom de Vinny Troia, le fondateur des sociétés de renseignement sur le dark web NightLion et Shadowbyte.

    « Les membres de la communauté de piratage RaidForums ont une querelle de longue date avec Troia, et dégradent généralement les sites Web et effectuent des piratages mineurs où ils blâment le chercheur en sécurité », note un observateur. Faisant un tweet relatif à cette campagne de spam, Vinny Troia a fait allusion à une personne connue sous le nom de « Pompompurin », comme l'auteur probable de l'attaque. Troia dit que l'individu a été associé dans le passé à des incidents visant à nuire à la réputation du chercheur en sécurité.

    Nom : vinny.png
Affichages : 1411
Taille : 15,6 Ko

    En attendant, le FBI a fait cette déclaration :

    « Le FBI est au courant d'une mauvaise configuration logicielle qui a temporairement permis à un acteur d'exploiter le Law Enforcement Enterprise Portal (LEEP) pour envoyer de faux e-mails. LEEP est l'infrastructure informatique du FBI utilisée pour communiquer avec nos partenaires chargés de l'application de la loi au niveau national et local. Alors que l'e-mail illégitime provenait d'un serveur exploité par le FBI, ce serveur était dédié à l'envoi de notifications pour LEEP et ne faisait pas partie du service de messagerie d'entreprise du FBI. Aucun acteur n'a pu accéder ou compromettre des données ou des informations personnelles sur le réseau du FBI. Une fois que nous avons appris l'incident, nous avons rapidement corrigé la vulnérabilité du logiciel, averti les partenaires de ne pas tenir compte des faux e-mails et confirmé l'intégrité de nos réseaux ».

    Sources : communiqué de presse FBI, Kevin Beaumont, Vinny Troia, Pompompurin, ministère américain de la justice, SpamHaus
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    281
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 281
    Points : 659
    Points
    659
    Par défaut
    C'est trop drôle, franchement...

Discussions similaires

  1. Recherche d'une valeur dans un site web
    Par mazuno dans le forum Général JavaScript
    Réponses: 3
    Dernier message: 11/08/2010, 15h56
  2. [Portlet] Intégration d'une portlet dans un site web
    Par Aur25 dans le forum Portails
    Réponses: 1
    Dernier message: 23/04/2010, 13h12
  3. Inserer une base dans un site web interactif
    Par Msakeni dans le forum Général Conception Web
    Réponses: 2
    Dernier message: 10/03/2010, 23h43
  4. [Conception] Comment utiliser une BDD dans un site WEB ?
    Par Smollben dans le forum PHP & Base de données
    Réponses: 7
    Dernier message: 12/08/2007, 16h08

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo