Reuters à nouveau piratée
L’agence d’information Reuters a été à nouveau piratée dimanche dernier par la Syrian Electronic Army (SEA).
Toute personne visitant une page traitant de la Syrie comme:
était redirigée vers une page des pirates;
La SEA attaque régulièrement les organisations média du monde entier, les accusant de « disséminer des mensonges sur la Syrie ». Elle avait notamment déjà pris le contrôle du compte Twitter de Reuters en juillet 2013.
Plus récemment elle piratait les sites du Sunday Times et de Forbes.
Cette fois-ci, l’agence de presse n’était pas en cause dans cet incident.
Elle utilise un widget de la société new-yorkaise Taboola, qui propose en fin de page une grille d’hyperliens vers des articles qui pourraient intéresser les lecteurs:
C’est ce widget qui a été piraté.
La Syrian Electronic Army, qui n’en est pas à son premier essai, utilise régulièrement le filoutage (phishing) pour voler des mots de passe d’organisations des médias, et elle adore Google Aps.
Taboola utilise aussi les Google apps. Un courriel avec un lien malveillant a été envoyé par la SEA à des employés de la firme, les menant sur une page qui leur demandait leur nom d’utilisateur et leur mot de passe pour se connecter à leur boîte Gmail.
Plusieurs employés sont tombés dans le piège, dont au moins un qui utilise le même mot de passe pour son compte courriel et son compte Backstage, qui est l’outil d’administration de Taboola.
La SEA a pu alors se connecter à Backstage et insérer du code malveillant de redirection vers un serveur pirate.
Tous les clients de Taboola potentiellement en danger
Taboola est la plus grande plate-forme de découverte de contenu, elle touche plus de 350 millions de lecteurs. Potentiellement, cette faille de sécurité peut être exploitée pour l’ensemble des clients de Taboola, dont Yahoo, la BBC, Fox News, le New York Times, et bien d’autres, notamment en France.
La campagne de filoutage a aussi permis à la SEO d’accéder au compte PayPal de Taboola, et de détourner de petites sommes.
Le CEO de Taboola a reconnu les faits. Le CTO a apporté des précisions et affirmé que la firme allait implémenter un système d’authentification à deux facteurs pour leur système de gestion Backstage.
Et limiter les insertions de code à partir de Backstage.
Leçons
Ce piratage est intéressant pour plusieurs raisons. Il montre qu’il ne suffit pas d’avoir une sécurité 100 % fiable en interne. Si l’on utilise des services Cloud – et la plupart des sites web les utilisent pour la publicité, les statistiques, les fonctionnalités de recherche ou les réseaux sociaux, tous les services Cloud doivent aussi être sécurisés à 100 %.
La deuxième leçon est qu’il faut forcer ses utilisateurs à respecter les consignes de base de sécurité, comme de ne jamais utiliser le même mot de passe pour deux services différents.
Les techniques de filoutage sont techniquement simples à mettre en œuvre, surtout si les entreprises utilisent des services standardisés comme Gmail, et s’appuient sur la crédulité des employés.
Ce qui inquiète, c’est le brio de la mise en œuvre des pirates :
- Envoyer suffisamment peu de courriels frauduleux pour ne pas attirer l’attention ;
- Utiliser dès que possible un courriel interne pour renvoyer le courriel frauduleux, incitant les employés à baisser leur garde du fait de l’envoi par un collègue ;
- Dans certains cas, comme celui d’Onion, détecter la réinitialisation forcée des mots de passe par la DSI quand elle s’aperçoit que la sécurité a été compromise, et rediriger tous les employés vers une fausse page de réinitialisation. À l’exception des employés des services informatiques, afin qu’ils ne se doutent de rien ;
- Tout le monde est rassuré, alors que l’entreprise est encore compromise.