La Fibre
Télécom => Réseau => Attaques informatiques => Discussion démarrée par: dj54 le 15 mars 2016 à 18:47:45
-
Le site internet de la chaîne Canal + a été piraté lundi soir par un groupe nommé AMAR^SHG. Les abonnés ont été nombreux à questionner la chaîne sur twitter.
La page d'accueil du site internet de Canal + a été lundi en soirée victime de hackers. Une cyberattaque revendiquée par AMAR^SHG. Ces derniers ont posté plusieurs messages dans la soirée afin d'interpeller les habitués du site au sort des civils confrontés à la « guerre en Israël, Kosovo, Serbie, Marco, Somalie, Russie, USA où des gens meurent chaque jour ».
http://www.ouest-france.fr/medias/canal/le-site-internet-de-canal-pirate-par-des-hackers-4096215 (http://www.ouest-france.fr/medias/canal/le-site-internet-de-canal-pirate-par-des-hackers-4096215)
-
site WEB pas site Internet!
-
Et tant qu'on y est, pirater (ou encore mieux, piraté) et non hacker... >:(
-
Oui en effet, je n'avais pas fait attention!
J'ai tellement l'habitude de ce genre d'abus de langage...
-
Et:
Hacké (si on accepte le néologisme, il doit suivre les règles de la langue française).
Piraté
-
site WEB pas site Internet!
euh, en l'occurrence, si. C'est pas juste les pages web, c'est tout le dns qui s'est fait poutrer chez le registrar, et les NS pointaient vers ceux des attaquants, qui redirigeaient donc également le mail avec un MX fourbe.
$ whois canalplus.fr | grep nserv
nserver: ns1.cluster03brasil.com
nserver: ns2.cluster03brasil.com
dig du soir de l'attaque :
$ dig canalplus.fr @ns2.cluster03brasil.com ANY
; <<>> DiG 9.9.5-12.1-Debian <<>> canalplus.fr @ns2.cluster03brasil.com ANY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45252
;; flags: qr aa rd; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 4
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;canalplus.fr. IN ANY
;; ANSWER SECTION:
canalplus.fr. 14400 IN TXT "v=spf1 +a +mx +ip4:189.112.170.160 +ip4:189.112.170.161 +ip4:189.112.170.162 +ip4:189.112.170.163 +ip4:189.112.170.164 +ip4:189.112.170.165 ~all"
canalplus.fr. 14400 IN MX 0 canalplus.fr.
canalplus.fr. 86400 IN SOA ns1.cluster03brasil.com. paulosampserv.gmail.com. 2016031402 86400 7200 3600000 86400
canalplus.fr. 86400 IN NS ns2.cluster03brasil.com.
canalplus.fr. 86400 IN NS ns1.cluster03brasil.com.
canalplus.fr. 14400 IN A 189.112.170.160
;; ADDITIONAL SECTION:
canalplus.fr. 14400 IN A 189.112.170.160
ns1.cluster03brasil.com. 14400 IN A 189.112.170.161
ns2.cluster03brasil.com. 14400 IN A 189.112.170.162
;; Query time: 259 msec
;; SERVER: 189.112.170.162#53(189.112.170.162)
;; WHEN: Mon Mar 14 21:44:09 CET 2016
;; MSG SIZE rcvd: 389
C'est assez con, parce que même si le nom du registrar fait sourire ("SAFEBRANDS"...), le setup dns mis en place était pas idiot, avec 3 NS dans 3 ASes différents et des A/AAAA/ptr dans 3 tld différents :
$ dig canalplus.fr @a.ns.mailclub.fr. ANY
; <<>> DiG 9.9.5-12.1-Debian <<>> canalplus.fr @a.ns.mailclub.fr. ANY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11200
;; flags: qr aa rd; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 7
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;canalplus.fr. IN ANY
;; ANSWER SECTION:
canalplus.fr. 33200 IN SOA master.ns.mailclub.fr. domaines.mailclub.fr. 2013013256 28800 14400 3600000 33200
canalplus.fr. 33200 IN NS c.ns.mailclub.com.
canalplus.fr. 33200 IN NS a.ns.mailclub.fr.
canalplus.fr. 33200 IN NS b.ns.mailclub.eu.
canalplus.fr. 900 IN A 194.4.244.50
canalplus.fr. 900 IN MX 10 antispam.jet-hmc.com.
;; ADDITIONAL SECTION:
a.ns.mailclub.fr. 300 IN A 195.64.164.8
a.ns.mailclub.fr. 300 IN AAAA 2a03:1780:1:12:a::8
b.ns.mailclub.eu. 600 IN A 85.31.196.158
b.ns.mailclub.eu. 600 IN AAAA 2a01:240:101::158
c.ns.mailclub.com. 300 IN A 87.255.159.64
c.ns.mailclub.com. 300 IN AAAA 2001:470:1f13:aee:a::92
;; Query time: 27 msec
;; SERVER: 2a03:1780:1:12:a::8#53(2a03:1780:1:12:a::8)
;; WHEN: Mon Mar 14 22:24:24 CET 2016
;; MSG SIZE rcvd: 363
-
Ah ouais, quand même.
C'est un peu plus que pirater un CMS.
En contrôlant le DNS, ils peuvent demander un certificat SSL/TLS au niveau de validation minimum, par email (certificat DV).