L’Internet Archive Subit des Cyberattaques, les Hackers Envoient des Emails

L’Internet Archive, une bibliothèque numérique à but non lucratif bien connue et maison de la Wayback Machine, a récemment été la cible de multiples cyberattaques, entraînant d’importantes perturbations de service pour les utilisateurs.

Dans un nouveau développement, l’organisation a subi une violation sur sa plateforme de support par email Zendesk. Cette violation a eu lieu après de multiples alertes concernant le vol de jetons d’authentification GitLab exposés par des acteurs malveillants, comme rapporté par BleepingComputer (BC).

Dimanche matin, The Verge a signalé avoir reçu un courriel de « L’équipe de l’Internet Archive » en réponse à une requête qu’ils avaient envoyée le 9 octobre.

Cependant, il semble que cet e-mail n’ait pas été envoyé par l’équipe de support officielle, mais a plutôt été rédigé par les pirates informatiques qui avaient précédemment compromis le site, suggérant qu’ils conservent toujours l’accès aux systèmes de l’organisation.

Les utilisateurs du subreddit Internet Archive ont également signalé avoir reçu des réponses similaires, renforçant les inquiétudes concernant la sécurité.

BC a également signalé avoir reçu de nombreux messages d’utilisateurs qui ont été alertés de la violation par des réponses à leurs anciennes demandes de suppression. Beaucoup de ces notifications avertissaient que l’Internet Archive n’avait pas efficacement renouvelé les jetons d’authentification volés.

Un courriel du pirate à BC exprimait sa déception, déclarant : « C’est décourageant de voir que, même après avoir été informé de la violation il y a des semaines, l’IA n’a toujours pas fait preuve de la diligence requise en changeant de nombreuses clés API qui ont été exposées dans leurs secrets gitlab. »

La semaine dernière, des pirates ont violé l’Internet Archive, divulguant des informations sensibles appartenant à des millions d’utilisateurs et défigurant le site avec un message se moquant de l’organisation pour son fonctionnement avec un budget limité, a noté The Washington Post.

Pour atténuer les fuites supplémentaires, l’équipe de l’Internet Archive a décidé de fermer le site, y compris la très utilisée Wayback Machine, comme l’a noté The Post.

Le fondateur Brewster Kahle a révélé que c’était la première fois en près de 30 ans que le site subissait une panne durant plus de quelques heures, a noté The Post.

BC affirme qu’elle avait précédemment rapporté que l’Internet Archive avait subi des attaques simultanées la semaine précédente : une violation de données affectant les données utilisateur de 33 millions de comptes et une attaque par déni de service distribué (DDoS) orchestrée par un groupe appelé SN_BlackMeta.

Bien que les deux incidents se soient produits pendant la même période, ils ont été exécutés par différents acteurs de menaces. De nombreux médias ont erronément attribué la violation de données à SN_BlackMeta, confondant les deux attaques, a noté BC.

Cette déformation a frustré le véritable auteur de la violation de données, le poussant à contacter BC. Ils ont revendiqué la responsabilité de la violation et ont fourni des détails sur la manière dont ils ont infiltré l’Internet Archive.

Selon les attaquants, la violation provenait de la découverte d’un fichier de configuration GitLab exposé sur l’un des serveurs de développement de l’organisation. BC a confirmé que ce jeton était publiquement disponible depuis au moins décembre 2022, ayant été modifié à plusieurs reprises depuis.

Les pirates informatiques ont affirmé que ce fichier de configuration GitLab contenait un jeton d’authentification qui leur a permis de télécharger le code source de l’Internet Archive, qui à son tour incluait d’autres identifiants et jetons d’authentification, y compris ceux pour le système de gestion de base de données de l’organisation.

Cet accès leur a permis de télécharger la base de données des utilisateurs, du code source supplémentaire, et même de modifier le site. Ils ont affirmé avoir volé 7 To de données de l’Internet Archive mais n’ont pas fourni d’échantillons comme preuve, comme rapporté par BC.

Il a maintenant été confirmé que les données volées incluaient également des jetons d’accès API pour le système de support Zendesk de l’Internet Archive. BC a déclaré avoir tenté de contacter l’Internet Archive à plusieurs reprises, la plus récente étant vendredi, pour discuter de l’infraction et de ses implications, mais n’a reçu aucune réponse.

Selon The Verge, l’équipe de l’Internet Archive travaille jour et nuit à travers les fuseaux horaires pour restaurer les services. Dans un article de blog daté du 17 octobre, Kahle a indiqué que le site prévoit de rétablir davantage de services dans les « jours à venir », bien qu’initialement en mode lecture seule car la restauration complète pourrait prendre du temps supplémentaire.

Les raisons derrière les récentes cyberattaques sur le site restent floues, selon The Verge. Forbes suggère que la motivation derrière ces violations semble être plus liée à la réputation qu’à des raisons financières.

Le Post a noté que l’Internet Archive a fait face à des défis juridiques par le passé, y compris des poursuites de la part des éditeurs de livres et des labels de musique concernant la numérisation de matériel protégé par des droits d’auteur, que l’organisation considère comme autorisée à des fins d’archivage non commercial.

Le Post rapporte que Kahle a averti que les pénalités potentielles de ces poursuites, qui pourraient s’élever à des centaines de millions de dollars, représentent une menace significative pour la survie de l’Internet Archive.

Alors que ces poursuites sont en cours, l’Internet Archive fait maintenant face au défi double de gérer les litiges juridiques et de contrer les menaces cybernétiques.

L’organisation a déjà subi une attaque DDoS en mai, entraînant des pannes intermittentes. Kahle a mentionné au Post que c’était la première fois dans l’histoire du site qu’il était ciblé.