Depuis quelques jours, tous les professionnels du web francophone se tournent sur l’affaire de vol de domaine de Web Rank Info, Olivier Duffez, le propriétaire légitime d’un nom de domaine populaire, se l’étant fait voler. Il explique la méthode du vol en ces termes :
Mon nom de domaine webrankinfo.com m’a été volé la semaine dernière par un pirate qui a exploité une faille de Gmail pour accéder au compte qui était associé à ce nom de domaine. Une fois qu’il s’est emparé de ce compte mail, il a pu demander à mon registrar OVH de lui envoyer les codes d’accès. Dès lors, il était facile de demander un transfert vers un autre registrar, puisqu’il pouvait lui-même confirmer par mail les demandes de confirmation envoyées par OVH. Quelques jours après sa demande, le transfert fut effectif et c’est ainsi que mardi 4 mars vers 22h les DNS pointaient vers un serveur de parking de nom de domaine. A cet instant précis, alors même que j’étais encore connecté à Gmail, le pirate a modifié le mot de passe Gmail, ce qui m’a déconnecté et m’a fait perdre le contrôle. Il a aussi modifié la question secrète ainsi que l’adresse secondaire associée au compte Gmail, m’empêchant de le récupérer.
Autres vols de domaines connus
Le détail de la faille supposée de GMail n’est pas dévoilé. Cependant, ce service d’email gratuit a fait parler de lui voici quelques mois à peine dans une affaire similaire où un autre professionnel du web, David Airey, s’était fait voler son nom de domaine, affirmant que le vol était lié à une faille de GMail, l’adresse de contact du domaine auprès de son bureau d’enregistrement étant gérée par ce service. Dans ce cas, le pirate avait demandé une rançon de $650, puis $250 au propriétaire légitime pour lui rendre accès à son site. Le propriétaire ayant finalement choisi une autre voie et l’épisode s’était terminé par la récupération du nom de domaine volé.
En 2006, et j’en ai déjà parlé ici, le nom de domaine Explicite.com, lié à un service de pour adultes payant, s’était fait voler par un pirate qui, dans ce cas-là, avait carrément dupliqué l’aspect visuel du site pour encaisser les abonnements des nouveaux membres croyant débarquer sur le site original.
Faille de GMail
On ne peut que spéculer sur la faille supposée de GMail. En effet, si deux des trois victimes susmentionnées accusent une faille de GMail, et que de telles failles aient existé dans le passé, les preuves de la relation entre une faille hypothétique et ces cas de vols manquent, même s’il existe de fortes présomptions.
En effet, dans le passé, GMail aurait souffert des failles de type XSS (ou cross-site scripting). Il s’agit d’une famille de failles touchant les applications web fonctionnant sur le principe qu’une application web peut exécuter un script malveillant tiers qui peut alors prendre le contrôle, en partie ou en totalité, de l’application web souffrant d’une telle faille. Dans le cas de GMail, la faille pouvait être exploitée de la façon suivante :
- L’utilisateur GMail légitime se connecte à son compte.
- L’utilisateur GMail légitime visite un site tiers malveillant.
- Le script tiers malveillant ajoute un filtre de redirection dans le compte GMail de la victime qui le visite à l’insu de cette dernière. Par exemple, un filtre du type « tous les emails reçus contenant le mot « password » ou « domain » doivent être redirigés automatiquement à l’adresse [email protected] et effacés ».
A partir de là, le pirate procède comme suit pour voler le domaine :
- Le pirate va sur le site du bureau d’enregistrement du domaine où sa victime gère ses domaines via le compte GMail piraté.
- Le pirate déclare au bureau d’enregistrement qu’il a perdu son mot de passe et lui de renvoyer un nouveau mot de passe.
- Le bureau d’enregistrement envoie le mot de passe vers le compte GMail piraté.
- GMail exécute le filtre du pirate et réexpédie le mot de passe vers le compte email du pirate sans en garder trace.
- Le pirate se connecte à l’interface d’administration du bureau d’enregistrement avec le nouveau mot de passe.
- Le pirate demande le transfert du ou des domaines vers un autre bureau d’enregistrement.
- L’ancien bureau d’enregistrement du domaine envoie des emails de demande de confirmation du transfert à l’utilisateur légitime.
- GMail exécute le filtre du pirate et réexpédie les demandes de confirmation du transfert au pirate.
- Le pirate valide les emails de confirmation du transfert.
- Le pirate prend contrôle du domaine chez le nouveau bureau d’enregistrement de domaine.
Intérêt du vol
A cette étape, le pirate peut faire ce qu’il veut avec le nom de domaine, par exemple :
- rediriger le site vers une page de parking remplie de publicités contextuelles ou non (cas de WebRankInfo.com en 2008) ;
- rediriger le site vers une page de parking et réclamer une rançon à l’ancien propriétaire (cas de David Airey en 2007) ;
- rediriger vers une imitation du site afin de prétendre vendre des biens ou des services comme le site d’origine, mais en se contentant d’encaisser les commandes, sans les honorer (cas d’Explicite.com en 2006).
Limiter les dégâts
Dans ce genre de situations, le propriétaire légitime ne peut que tenter de limiter les dégâts en :
- réagissant vite ;
- contactant le bureau d’enregistrement destination afin de :
- demander la récupération du domaine (ce que le bureau refusera, proposant une procédure administrative et/ou judiciaire à suivre),
- demander le blocage immédiat des éventuels futurs transferts du domaine durant la procédure de récupération,
- lancer la procédure de récupération ;
- alertant les autorités compétentes (voir un avocat spécialisé dans Internet, les marques, la contrefaçon et la cyber-escroquerie qui pourra donner conseil et prendre toutes les mesures légales nécessaires).
Dans tous les cas, comprenez qu’il s’agit d’une démarche stressante, longue et coûteuse.
Protection contre le vol
Tous les bureaux d’enregistrement sérieux proposent une protection contre le vol des domaines. Cette protection vise à refuser systématiquement toute demande de transfert tant que la protection contre le vol est active. En effet, à défaut de protection, il faut soi-même faire le tri entre les demandes de transfert légitimes (que vous auriez vous-même initiées) et les demandes de transfert illégitimes (que d’éventuels voleurs pourraient initier, principalement automatiquement, dans le but de tenter leur chance, juste au cas où). C’est d’autant plus difficile qu’il faut réagir vite et que l’absence de réponse peut valoir d’autorisation. Bref, il est indispensable d’activer la protection contre le vol sur chaque domaine acheté.
Par ailleurs, il semble préférable de dédier un compte email spécifique à la gestion des domaines et le consulter régulièrement et exclusivement depuis un environnement sûr (système d’exploitation exempt de virus, rootkit, cheval de Troie, spyware, adware et autres logiciels malveillants, navigateur exempt de toute barre d’outil additionnelle ou d’extension non sûre) et via une connexion sécurisée (via le protocole https).
Si un compte email secondaire devait être attaché à la gestion du domaine ou au compte email principal attaché à la gestion du domaine, les mêmes soins de protection doivent être appliqués qu’avec le compte principal. En effet, si redéfinir le mot de passe de votre compte email secondaire vise à répondre « martin » à la réponse « quel est le nom de jeune fille de votre mère ? », c’est ce maillon faible de la chaîne de protection qui pourrait être exploité par un éventuel voleur ou pirate.
Je n’avais pas du tout suivi l’épisode de webrankinfo, c’est assez inquiétant pour les comptes Gmail, sachant que Google est quand même le plus gros acteur du net et que le webmail est quasiment l’outil le plus populaire du net! J’éviterai d’utiliser mon compte Gmail pour des trucs importants…
GMail est effectivement un outil très populaire auprès des informaticiens en général, et des spécialistes du web en particulier, mais les services mail les plus populaires du Net restent tout de même Hotmail (ou Windows Live Mail) et Yahoo! Mail, très, très loin devant les autres qui suivent dans la file.
Pour ce qui est des attaques GMail, elles ne sont pas isolées : combien de failles ont-elles été exploitées par des tiers pour prendre le contrôle d’ordinateurs où les utilisateurs utilisent un outil aussi populaire que la messagerie Outlook Express ou Outlook ? À chaque logiciel ses failles, et celles de GMail, à ma connaissance, ont été corrigées voici plusieurs mois.
Cet épisode, ainsi que d’autres épisodes malheureux du même type montrent surtout qu’il faut vérifier manuellement et exhaustivement la configuration de ses comptes, car une faille non documentée peut mener à des conséquences désastreuses, et des cyber-mafias complètes ou des cyber-criminels isolés font de leur mieux pour attaquer les entreprises légitimes de moult façons et d’en tirer un avantage pécunnier. Ce n’est pas spécifique à GMail ou à Internet, d’ailleurs, mais général à l’ensemble de l’économie. Gageons que les autorités policières et judiciaires se mettront rapidement à jour pour lutter non seulement contre des causes nobles, mais sans impact économique positif, que sont la pédophilie, par exemple, mais aussi poute lutter efficacement et de manière dissuasive contre la criminalité et la délinquance sur Internet, de plus en plus populaire, sans pour autant que l’on ait l’impression qu’il y ait de véritables progrès en matière de protection et de dissuasion.
Ping : Comment se protéger des failles XSS ?
A propos de vol de nom de domaine, un de mes clients a eu la même expérience il y a peu de temps avec son nom de domaine en .fr qu’il s’est fait récupérer par un certain [nom censuré] (domaineur de son état) qui est un particulier connu de l’afnic et qui revend les domaines à leurs propriétaires moyennant finance. Il vous envoie une facture au nom d’une société espagnole. Autant que je sache un domaine .fr ne peut pas être acheté par une société qui n’a pas d’existence sur le sol français et pourtant son business semble bien marcher. Quel beau métier !
Ping : Services et navigateurs web