Celui qui a piraté le New-York Times
Bonsoir,
Bienvenue pour le nouvel épisode de Pwned sur Adrian Lamo, un hacker célèbre dont vous avez peut-être entendu parler si vous avez suivi l'affaire Chelsea Manning. Mais le premier fait d'armes qui lui a valu sa popularité et dont on va parler aujourd'hui, c'est le piratage du New-York Times en 2002.
Tout d’abord, si vous n’êtes pas inscrit à cette newsletter sur le cybercrime, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires. N’hésitez pas également à la partager autour de vous avec ce lien de parrainage (traduit en un horrible “Référez”). Et comme promis, je profite de ce mail pour faire un client d’œil à Renaud Lifchitz, qui vient de convaincre cinq personnes de s’abonner à Pwned, merci encore à lui!
Avant que cela ne devienne une évidence, la presse a longtemps tâtonné avant de se lancer sur le web. Regardez par exemple à quoi ressemblait la page d'accueil du Parisien en juin 2002, on a vraiment l’impression que c’était la préhistoire.
Voilà pourquoi cette annonce du blog spécialisé dans la cybersécurité Security Focus, en février 2002, est importante. Alors que les journalistes s’interrogent sur l’intérêt du web, mais aussi de ses risques, un article du journaliste Kevin Poulsen dévoile le piratage du New-York Times.
Le quotidien new-yorkais est une véritable institution médiatique, il est considéré comme le plus grand titre de presse du monde. Le piratage informatique qui l’affecte a donc une valeur symbolique. Si les cadors du Times n’arrivent pas à bien se sécuriser, on se demande bien comment le reste de la presse va y arriver.
Le piratage fait d’autant plus tâche qu’il n’a pas été bien compliqué. Le hacker, qui témoigne dans l'article de Poulsen, explique qu’il lui a fallu seulement deux minutes pour trouver une faille. Il s'appelle Adrian Lamo, n'a qu'une vingtaine d'années mais se présente comme un “hacker et parfois un consultant en sécurité”.
Faisons tout d’abord une petite digression historique : à cette époque, la sécurité informatique des sites web est bien souvent une passoire. Et de nombreux jeunes hackers s'amusent à percer leurs (maigres) défenses. Je vous avais parlé par exemple de cette attaque en déni de service lancée en 2000 par un gamin de 15 ans, Mafiaboy, qui avait mis à terre des géants d'Internet très mal protégés.
Le Times n’est donc le seul à avoir des soucis, mais c’est quand même la preuve que le quotidien a de sérieux efforts à faire sur ce terrain. Alors, comment Adrian Lamo a-t-il réussi à pirater le système informatique du quotidien? Hé bien, il explique avoir découvert sept serveurs proxy mal configurés qui lui ont permis de s’immiscer dans l’intranet privé du Times.
De quoi parle-t-on? Un serveur proxy, c’est un serveur intermédiaire entre l’ordinateur de celui qui navigue sur Internet et le web, en gros. Ça permet par exemple de rendre la navigation plus rapide, quand un proxy garde en cache la page que vous voulez consulter, par exemple.
Un proxy ouvert est un serveur qui accepte tout type de connexion. Ces derniers sont également utilisés, à cette époque où le navigateur Tor n’existe pas, pour masquer sa navigation. Ce qui peut être indispensable si vous vivez dans un pays peu soucieux des libertés publiques.
Mais cette synthèse de l’époque que j’ai retrouvé sur les proxy ouverts rappellent que ces derniers résultent d’abord d’une mauvaise configuration de l’administrateur. Justement, Adrian Lamo a un logiciel, “Proxy Hunter”, qui permet de repérer des proxy ouverts.
On voit bien l’intérêt pour un attaquant : se connecter à un serveur proxy va permettre de se servir de cette instance comme un intermédiaire pour masquer son adresse IP et ainsi lancer des actions malveillantes. Sur le réseau du Times, il lorgne d’abord sur les serveurs de messagerie avant de trouver ce qu’il recherche : un accès à l'intranet du journal américain et aux données qu'il contient.
“Ironiquement, ce n'est que lorsque j'ai mal saisi une URL que j'ai trouvé ce que je cherchais : le message d'erreur m'a invité à ‘essayer le site intranet principal du New York Times’ à la place”, expliquait-il à Newsbytes. Adrian Lamo parvient ensuite à accéder à plusieurs bases de données contenant des informations personnelles d'employés du journal, mais aussi celle des 3000 contributeurs extérieurs ayant publié des tribunes dans le quotidien.
Parmi les données accessibles, des numéros de téléphone, des adresses et des numéros de sécurité sociale appartenant à toute une galaxie de haut fonctionnaires, politiciens et personnalités influentes dans le débat public. Soit des informations sur une partie du gratin américain, avec par exemple le numéro de téléphone de l’ancien président Jimmy Carter - ok, pas sûr que ce dernier soit vraiment si “influent”.
Ce n'est pas la première fois que le New York Times se fait pirater. En 1998, le groupe Hacking for Girlies avait déjà défiguré la une de son site web. A l’époque, les hackers en voulaient au journaliste John Markoff pour son livre sur la traque du hacker Kevin Mitnick, et l’affaire s’était soldée par la fermeture du site pendant neuf heures.
Mais cette fois-ci, on monte d’un cran: du défacement on passe à la fuite de données. Celui qui a piraté le Times n’en n’est pas à son coup d’essai. Le jeune homme de 21 ans a déjà à l’époque un CV assez fourni. Il est par exemple parvenu à infiltrer à cinq reprises en deux mois l’opérateur Worldcom. Là encore, explique le journaliste Kevin Poulsen, Adrian Lamo a profité d’un serveur proxy ouvert par erreur pour mettre un pied dans l’informatique de l’entreprise.
Il a également réussi quelques mois auparavant à raconter des bobards sur Yahoo!, en modifiant un article sur un informaticien russe poursuivi par la justice américaine. Il invente au passage des citations du ministre de la justice... Cela faisait alors plusieurs semaines qu’il s’amusait à faire de petites modifications dans les articles pour vérifier si ses accès étaient toujours ouverts, une affaire où il voulait alerter sur les risques de manipulation de l’information.
Adrian Lamo est un hackeur doué, mais éthique, assure-t-il. Il ne tente pas de tirer un profit de ses découvertes. Par exemple pour le piratage de Worldcom, il n’utilise pas ses accès frauduleux à des fins malveillantes et il va aider l’entreprise à reconfigurer le serveur qui lui avait permis de pirater son réseau pour qu’elle soit mieux protégée. L’entreprise va d’ailleurs le remercier pour son alerte.
Toutefois, Lamo marche sur une ligne de crête, car au final il s’agit bien de piratages informatiques. Son attitude et sa coopération avec les victimes lui permettent dans la plupart du temps d'échapper aux ennuis. “A moins que les pirates ne fassent des dommages évidents, les entreprises ne font rien”, explique à l’époque un ancien procureur.
“Je préfère quelqu’un qui signale des failles de sécurité sans faire de dommages” à une découverte similaire par un concurrent, observe également un responsable de la sécurité informatique d’une entreprise. Donc lorsque le jeune homme s'attaque au New York Times, il ne s'inquiète pas trop. Après tout, il les a prévenu la veille de la publication de l’article des failles trouvées?
Ben justement, ce petit délai de 24 heures semble bien court et pas si fair-play que ça. Ce n’est pas très responsable et en creux, cela dessine le portrait de quelqu’un qui cherche surtout la gloire. Ce qui permet de comprendre pour le New-York Times va lui tomber dessus. Car cette affaire ne va pas se passer comme les autres. Cette fois-ci il y a un signalement et une enquête judiciaire est ouverte.
On en parle la semaine prochaine,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources
New York Times internal network hacked
Adrian Lamo, ‘Homeless Hacker’ Who Turned in Chelsea Manning, Dead at 37
Profitez pleinement d’Internet
New York Times Intranet, Source Database Hacked