En cette fin d'année, une nouvelle attaque vient d'être menée vis-à-vis de l'ICANN, organisme de référence pour l'accréditation des domaines et acteurs de l'Internet.
L'ICANN renforce actuellement ses procédures et mesures de sécurité, et l'enquête est en cours sur une récente intrusion dans ses systèmes.
SpearPhishing, le hameçonnage "ciblé"
Dès le mois de Novembre 2014, une série de mails ont été communiqués auprès des intervenants de l'ICANN. Ces mails, de type hameçonnage directif et ciblé, reproduisant avec un réel mimétisme le format d'envoi, le nom de domaine d'émission et la présentation du contenu, ont été conçu pour reproduire fidèlement l'organisation ICANN afin de collecter des informations auprès des collaborateurs et du personnel de l'ICANN. Ce type d'attaque, avec son doux nom SpearPhishing, a pour objectif de passer inaperçu dans les BALs des destinataires, pensant ainsi que ce sont des mails officiels.
Compromission de mots de passe
L'attaque a compromis les mots de passe de messagerie de plusieurs membres du personnel de l'ICANN. Et dès le début décembre, les mots de passe ainsi exfiltrés avaient été utilisés pour accéder à d'autres systèmes de l'ICANN en plus de la messagerie, ce qui s'apparente à une stratégie de rebond au sein du SI.
Plusieurs éléments ont été touchés, dont:
- le service centralisé de données de zone (CZDS) (czds.icann.org) ou l'attaquant a obtenu l'accès avec droits d'administrateur à tous les fichiers du CZDS: des copies des fichiers de zone du système, des informations utilisateurs tels que leur nom,adresse postale, courrier électronique,numéro et fax, mais surtout leur nom d'utilisateur et leur mot de passe.
- la page Wiki de l'ICANN, page d'informations publiques (gacweb.icann.org) où seules la page d'index réservée aux membres et une seule page de profil d'utilisateur ont été consultées.
Des notifications ont été envoyées aux utilisateurs dont l'information personnelle a été compromise.
Les recherches menées à ce jour montrent qu'aucun autre système n'a été compromis et que cette attaque n'a pas d'impact sur les systèmes liés à l'IANA. L'ICANN avait mis en place début 2014 un programme destiné à renforcer la sécurité des informations de tous ses systèmes: ces améliorations ont certainement contribué à limiter l'accès non autorisé obtenu à partir de l'attaque.
Merci à l'ICANN pour leur transparence (néanmoins obligatoire du fait de la législation et de leur positionnement), et pour le partage d'informations relatives à la cybersécurité qui aide les parties concernées à évaluer les menaces qui pèsent sur leurs systèmes.