twiter victime d'un détournement dns
Le célèbre site de micro-blog Twitter.com vient d'être détourné pendant quelques heures vendredi matin, aux alentours de 7 heures. L'attaque informatique consisterait en un détournement de DNS, dont le principe est de tromper le système de noms de domaine qui permet ordinairement aux utilisateurs du site d'atteindre twitter.com.
Une autre page d'accueil que celle de Twitter était alors affichée lorsque l'on tentait de se rendre sur le site. Les pirates ayant réalisé ce détournement se sont présentés sous le nom de la « cyber-armée iranienne », et avaient visiblement un but politique, d'après les messages laissés sur le site, en Anglais et en Persan.
Principe de l'attaque
Le système de noms de domaine
Sur tous les réseaux et en particulier Internet, les ordinateurs sont identifiés par une adresse IP, qui consiste en quadruplet de nombres compris entre 0 et 255. C'est cette adresse qui permet par exemple à votre navigateur de communiquer avec un site web. Cependant, ces adresses peuvent varier, et sont surtout peu pratiques à retenir. On utilise alors des noms de domaine qui permettent d'associer un nom plus simple (par exemple http://www.siteduzero.com) à une adresse IP (par exemple 80.248.219.123).
Des serveurs particuliers jouent le rôle de convertisseur entre les deux formes d'adresses. Généralement, il s'agit de ceux de votre fournisseur, mais vous êtes libre d'en utiliser d'autres, comme OpenDNS. Lorsque vous cherchez à atteindre le Site du Zéro, le serveur DNS que vous utilisez contacte alors des serveurs plus importants, qui eux-mêmes iront interroger ceux du site. Les performances de ce système sont généralement améliorées par l'utilisation d'un cache qui garde en mémoire les adresses IP données, au cas où d'autres utilisateurs voudraient se rendre sur le site.
Le détournement de noms
Ces serveurs jouent donc un rôle clef dans le bon fonctionnement d'Internet et du web. S'ils sont corrompus, certains sites risquent donc d'être impossibles à atteindre. Les pirates peuvent également rediriger les utilisateurs vers des sites qu'ils ont conçus et leur faire croire à un piratage du site web initial ; cependant, celui-ci tourne correctement, il est juste hors d'atteinte.
Pour détourner un site, le pirate doit donc flouer les bons serveurs DNS, lorsque ceux-ci cherchent à déterminer l'adresse IP du site. Il se fait alors passer pour un autre serveur DNS, et lui envoie une réponse fausse contenant l'adresse du site factice : les utilisateurs qui tenteront d'accéder au premier site seront alors envoyés vers cette mauvaise adresse lorsqu'ils interrogeront leurs serveurs DNS dans les heures qui suivront l'attaque.
Twitter victime
Des raisons politiques ?
Au moment de l'attaque, un billet posté sur le site de Twitter annonçait un problème technique. Quelques heures après avoir réparé l'avarie, l'équipe technique du site annonçait avoir été victime d'un détournement, dont on ignore pour l'instant les détails. Les seules informations disponibles sont donc les messages laissés par les pirates.
Ceux-ci ont un caractère politique clair. L'équipe d'attaquants, se présentant comme la « cyberarmée iranienne », protestait contre le contrôle des États-Unis sur Internet, ainsi que sur la politique interne de l'Iran. Ce message fait référence au rôle qu'ont joué Twitter et Facebook lors des élections présidentielles qui se sont déroulées en Iran en juin 2009. Des membres de l'opposition avaient alors utilisé Internet pour protester contre les résultats du scrutin et la répression gouvernementale des manifestations. Cette attaque informatique reflèterait donc la tension internationale entre les puissances occidentales et l'Iran.
Cependant, d'autres sites ont été touchés par l'attaque, notamment mowjcamp.org. Il est possible que ces sites ne soient que les victimes des dommages collatéraux de l'attaque, mais les objectifs initiaux des pirates ont également pu être plus vastes, et ne pas se limiter au seul site Twitter. D'autre part, certains évoquent l'hypothèse d'une faille encore inconnue jusqu'à maintenant, touchant le serveur DNS couvrant ces différents sites.
Twitter encore ciblé
Le journal Techcrunch.com a détaillé l'évolution de cette attaque, en conseillant même à un moment aux utilisateurs de Twitter de modifier leurs mots de passe sur les autres services que Twitter. Cette précaution semble toutefois inutile dans le cas d'un détournement DNS.
Ce n'est pas la première fois que Twitter subit une telle attaque. En août dernier, le site avait déjà été la cible d'une attaque par déni de service, qui consistait à rendre twitter.com inaccessible en l'étouffant sous les requêtes. D'une autre nature que le détournement DNS, le déni de service ne vise cependant pas non plus les données des utilisateurs du site, mais uniquement son architecture, centralisée et donc très sensible à ce genre d'attaque.
source site du zero
