Les voleurs ne reculent plus devant rien pour mettre la main sur des portefeuilles de cryptomonnaie. Hier, des cybermalfrats ont réussi à dérober un gros paquet d’ethers, une cryptomonnaie alternative au bitcoin, pour une valeur d’environ 20 millions d’euros. Le plus étonnant n’est pas la somme qu’ils ont dérobée, mais leur manière assez sophistiquée de procéder.
Selon The Register, les pirates ont réussi à détourner une partie du trafic Internet afin de ramener les utilisateurs de MyEtherWallet.com vers un faux site web hébergé sur un serveur russe. Comment ? En interceptant et manipulant les requêtes DNS envoyé vers Route 53, un service d’Amazon Web Services utilisé par MyEtherWallet.com. Le DNS (Domain Name System) est l’annuaire de l’Internet et permet d’associer une adresse IP à un nom de domaine. En modifiant son trafic, les voleurs ont pu rediriger les utilisateurs vers le faux serveur.
MyEtherWallet subject to a DNS hijack. DNS was redirected via AWS DNS to a server in Russia, Ether stolen. Server is https only so users clicked through certificate errors.
— Kevin Beaumont (@GossiTheDog) April 24, 2018
Il semble que cette interception DNS se soit faite en manipulant le protocole de routage BGP (Border Gateway Protocol) qui permet aux routeurs de trouver le bon chemin à travers la Toile. Techniquement, BGP fonctionne par l’échange d’informations de routage entre les différents réseaux qui constituent l’Internet (les « systèmes autonomes »). Dans le cas présent, les pirates ont visiblement réussi à pirater l’infrastructure d’un hébergeur américain (eNet) pour diffuser à des opérateurs de transit de fausses informations de routage relatives au service Amazon Route 53.
Les attaques DNS et BGP sont bien connues et reposent sur des faiblesses intrinsèques à ces protocoles. C’est pourquoi d’ailleurs aucun des acteurs impliqués n’a endossé de responsabilité sur cette affaire. « C’est la plus grande attaque que j’ai vue qui combine les deux [protocoles] et cela souligne la fragilité de la sécurité de l’Internet », explique Kevin Beaumont, un chercheur en sécurité.
Ne jamais ignorer les alertes de sécurité
Bref, on voit que les pirates n’ont pas hésité à sortir les grands moyens pour mettre la main sur ce pactole. Leur mode opératoire avait quand même un point faible : le certificat du faux site russe n’était pas correctement signé. En se connectant, les utilisateurs ont donc forcément eu une alerte de sécurité dans leur navigateur. Malheureusement, beaucoup d’entre eux ignorent ce genre de notification. Dans un message officiel, la société MyEtherWallet insiste auprès de ses utilisateurs pour qu’ils vérifient toujours que l’URL de connexion est bien précédée d’une barre verte avec le nom de l’entreprise (« MyEtherWallet Inc »). Ce qui prouve qu’il s’agit bien du bon certificat TLS/SSL.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.