Une violation des archives Internet expose 31 millions d'utilisateurs
Le piratage a exposé les données de 31 millions d'utilisateurs alors que le fabricant de Wayback Machine en difficulté, s'efforce de rester en ligne et de contenir les retombées des attaques numériques et juridiques.
Une fenêtre contextuelle JavaScript illicite sur Internet Archive a annoncé mercredi après-midi que le site avait subi une violation de données majeure. Quelques heures plus tard, l'organisation a confirmé l'incident.
Troy Hunt, chercheur en sécurité de longue date qui gère le site Web de notification de violation de données Have I Been Pwned (HIBP), a également confirmé que la violation était légitime. Il a déclaré qu'elle s'était produite en septembre et que le trésor volé contenait 31 millions d'adresses e-mail uniques ainsi que des noms d'utilisateur, des hachages de mots de passe bcrypt et d'autres données système. Bleeping Computer, qui a été le premier à signaler la violation, a aussi confirmé la validité des données.
Internet Archive n'a pas répondu aux multiples demandes de commentaires de WIRED.
« Avez-vous déjà eu l'impression que les archives Internet fonctionnaient sur des clés USB et étaient constamment sur le point de subir une faille de sécurité catastrophique ? » ont écrit les attaquants dans le message contextuel d'Internet Archive de mercredi. « C'est arrivé comme ça. Vous êtes 31 millions à être sur HIBP ! »
Une vidéo du site WIRED : cliquez ici.
En plus de la violation et de la dégradation du site, Internet Archive a dû faire face à une vague d'attaques par déni de service distribué qui ont par intermittence mise hors service ses services.
Le fondateur d'Internet Archive, Brewster Kahle, a fait le point mercredi soir sur le réseau social X. « Ce que nous savons : attaque DDoS, repoussée pour l'instant ; dégradation de notre site Web via la bibliothèque JS ; violation des noms d'utilisateur/e-mails/mots de passe cryptés. Ce que nous avons fait : désactivation de la bibliothèque JS, nettoyage des systèmes, mise à niveau de la sécurité. Nous en dirons plus dès que nous en saurons plus. » Les « systèmes de nettoyage » font référence aux services qui offrent une protection contre les attaques DDoS en filtrant le trafic indésirable malveillant afin qu'il ne puisse pas inonder et perturber un site Web.
Internet Archive a fait face à des attaques DDoS agressives à de nombreuses reprises dans le passé, y compris fin mai. Comme l'a écrit Kahle mercredi : « L'attaque DDoS d'hier sur @internetarchive s'est répétée aujourd'hui. Nous travaillons à remettre http://archive.org en ligne. » Le groupe de hackers BlackMeta a revendiqué la responsabilité des attaques DDoS de cette semaine et a déclaré qu'il prévoyait d'en mener d'autres contre Internet Archive. Cependant, l'auteur de la violation de données n'est pas encore connu.
Internet Archive a dû faire face à de nombreux combats ces derniers mois. En plus des attaques DDoS répétées, l'organisation est également confrontée à des défis juridiques de plus en plus nombreux. Elle a récemment perdu un appel dans l'affaire Hachette v. Internet Archive, un procès intenté par des éditeurs de livres, qui soutenaient que sa bibliothèque de prêt numérique violait la loi sur le droit d'auteur. Elle est désormais confrontée à une menace existentielle sous la forme d'un autre procès pour violation du droit d'auteur, cette fois-ci de la part de maisons de disques, qui pourrait entraîner des dommages et intérêts de plus de 621 millions de dollars si le tribunal se prononce contre les archives.
Hunt, de HIBP, a déclaré avoir reçu les données volées d'Internet Archive le 30 septembre, les avoir examinées le 5 octobre et avoir averti l'organisation le 6 octobre. Il a déclaré que le groupe lui avait confirmé la violation le lendemain et qu'il avait prévu de charger les données dans HIBP et d'avertir ses abonnés de la violation mercredi. « Elles sont dégradées et attaquées par DDoS, juste au moment où les données sont chargées dans HIBP », a écrit Hunt. « Le moment choisi pour le dernier point semble être une pure coïncidence. »
Hunt a également ajouté que s'il avait encouragé le groupe à divulguer publiquement la violation de données elle-même avant que les notifications HIBP ne soient envoyées, les circonstances atténuantes peuvent expliquer le retard.
« Évidemment, j'aurais aimé voir cette divulgation beaucoup plus tôt, mais sachant à quel point ils sont attaqués, je pense que tout le monde devrait leur accorder un peu de répit », a écrit Hunt. « C'est une organisation à but non lucratif qui fait un excellent travail et fournit un service sur lequel beaucoup d'entre nous comptent énormément. »
WIRED