The Hack Story : #2, piratage des sites de météo france

Hello !

Me revoilà pour cet épisode numéro 2 de The Hack Story, et aujourd'hui on va parler du piratage de Météo-France, qui à eu lieux dans la nuit du lundi 23 au mardi 24 mais 2016.


(Capture d'écran by @throone sur twitter)

I) Explication de l'affaire

Mardi 24, vers 7h du matin, je vois un retweet de @korben sur twitter partageant une capture d'écran du site piraté de Météo-France. Étonné de ne pas voir cela actif chez moi et reconnaissant le pseudo du pirate, qui s'était déjà attaqué à Canal+ il y a quelques mois, j'ai suivi en live l'évolution du piratage.
Au début, on ne peut pas savoir grand chose. Est-ce un piratage des serveurs de Météo France (Et rappelons qu'ils possèdent un des plus puissant supercalculateur de France !)? Par quel moyens (Serveur non mis à jour? Faille 0-day? Faille dans le code du site de météo france?) et surtout est-ce une infiltration de longue date? Ou est-ce un détournement du nom de domaine en lui même, via le piratage de ces serveurs DNS (DNS Poisonning?) ou le remplacement de ceux si dans l'interface client de leurs hébergeur (Oxyd, sois dit en passant)? Un whois, effectué à ce moment, va très vite nous donner la réponse à cette question :


(à gauche, le Whois du .fr sur le site de l'afnic, fait le 24/05/2016 vers 8h, en plein pendant le détournement, comparé au whois sur le site de l'afnic effectué après résolution du problème)

On vois donc bien qu'il s'agit d'un détournement des DNS pur et simple. Exit donc toute les questions au sujets de potentiels accès au données privés sur les serveurs de météo France ou un accès a leurs supercalculateur, et heureusement ! Cependant, il reste encore des détails à éclaircir a ce sujet.


(Résultat de la commande linux "dig", renvoyant les informations DNS publique d'un nom de domaine, ici sur meteofrance.com, ainsi qu'un "curl" pour voir le contenu de la page d'accueil du site.)


(Résultat de la commande linux "dig", renvoyant les informations DNS publique d'un nom de domaine, ici sur meteofrance.fr, ainsi qu'un "curl" pour voir le contenu de la page d'accueil du site.)

On remarque ici (même si on l'avais déjà vu sur le whois précédemment présenté) que le pirate à eu la très mauvaise idée de détourner les DNS... vers un compte gratuit de l'hébergeur "hostinger.fr". Celui si appliquant des restriction assez drastique sur les comptes gratuit (logique, cela dit), au vu du fort traffic des domaines meteofrance.com/.fr, la page de deface s'est très vite vu remplacer par une standing page de pub d'Hostinger indiquant que les ressources CPU de l'hébergement gratuit avais été dépassé (tu m'étonne tien...). c'est donc pour ca que peu de personne ont pu voir la page de deface du pirate (Dont un mirroir est disponible sur la page zone-h du pirate, ici pour meteofrance.fr) et c'est aussi pour ca que même zone-h n'a pas pu prendre a temps tout les mirroirs des sites piratés (dont l'exemple de fail le plus flagrant est ici avec meteofrance.com).

Après analyse, on à pu retracer plus précisément les modifications :

1) D'après le BE (Bureau d'Enregistrement) du .com, meteofrance.com à été modifié à 22h48.
2) meteofrance.com à été enregistré sur zone-h à 23h02 le 23 (zone-h à -2H de décalage avec l'heure FR), meteofrance.fr lui à été enregistré à 00h42 (ahah) le 24.
3) il y à d'autres domaines de météo france qui ont été détourné, à savoir : mymeteofrance.com, meteofrance.mq, meteofrance.eu.com, meteofrance.co.com et meteo.eu.com, tous enregistré à 05h01, par un autre nom de pirate, sois un autre nom du même pirate, sois un pirate de la même "team".
4) à 10h00, oxyd se rend compte du piratage et remet meteofrance.fr sur des dns sous leurs contrôle, idem pour meteofrance.com à 10h04.vers 14h, météo france à remis ces DNS a eux sur le domaine et en à donc récupéré total contrôle.



Sur le profile zone-h du second pirate, nommé "RxR", il est aussi référencé, en même temps que les 5 domaines précédemment cité, plusieurs autres domaines de météo France rattaché au système Taméo Agro, à savoir tameo-agro.com, tameoagro.com, tameo-agro.fr, tameo-agro.info, tameoagro.info et tameo.info, dont les DNS ont été détourné en même temps que les autres domaines de Météo-France, et re-modifié modifié selon le BE de de tameoagro.com, à 13h32 par Météo-France pour remettre les DNS normaux.

II)Résultat de l'affaire


(Tweet du pirate pour annoncer le piratage, capture d'écran @zataz/Damien Bancal)

On est désormais sur d'une chose, le "comment", concernant Météo-France. Reste le "comment" côté Oxyd. Ce sont-il fait pirater leurs système d'administration privé? Leurs plateforme client? Leurs serveurs de gestion de base de donnée? Ou est-ce tout simplement le compte client de Météo-France qui à été détourné?
Malgré les vantardises du pirate lors d'une interview accordé au site zataz.com ou celui ci accuse oxyd d'avoir une plateforme d'administration non protégé, il semble évident que le pirate n'avais qu'accès au compte client de Météo-France, pour la simple et bonne raison que : Oxyd est registrar de plusieurs milliers de domaines, et j'en connais certain qui sont d'une importance tout au moins aussi grande que météo france, et vu les profils "je pirate tout ce que je trouve" des deux pirates, on peut être persuadé qu'ils n'aurais pas détourné que Météo-France s'il avais vraiment eu accès a une quelconque plateforme admin de chez oxyd ou encore accès a leurs serveurs de gestion.

III) Résumé final



2 détails viennent corroborer la piste du hack de compte client :

1)Les mêmes pirates avais piraté le groupe canal+ et détourné tout leurs sites internet à l’exception des sites de mycanal. hébergeur différent, registrar différent. Ce n'est donc pas deux piratage au sein du même hébergeur/registrar, ce qui tend à éloigner la piste du hack hébergeur/registrar.
2)Une confidence de damien bancal sur twitter, rédacteur de zataz.com, très bien informé sur le sujet, informant que la petite bande de pirates était loin d'en être à son premier pishing/sa première arnaque.

Au final, tout comme très certainement canal+ (qui à sois dit en passant tout fait pour étouffer l'affaire, manifestement personne n'a compris que faire comme le média "Le Monde", lors de son piratage est une idée bien meilleure idée, car oui, assumer ces erreurs ca met toujours plus en confiance que de les cacher Smiley Eheh ), Météo France à probablement été victime d'un pishing bien ciblé et qui à conduit au vol des identifiants de leurs compte client chez oxyd. De la, rien de très dur pour changer les DNS des différents nom de domaine de Météo France.

Météo-France à signalé sur twitter être au courant, vers 10h du matin, certainement par leurs hébergeur oxyd qui venais de mettre les DNS de météo france sur leurs DNS a eux en attendant. Puis, vers 13/14h, météo france à remis tout en route, et indiqué sur twitter avoir réglé le problème.
J'espère que Météo-France sera plus "honnête" que canal+ et reconnaitra le piratage (au lieux de se cacher derrière un "problème" vague comme dans les tweets sur leurs compte), le must serais de faire comme le monde avec un beau post dans un blog officiel.

Post FB public que j'ai fait et édité en live le jour même a ce sujet
Les mots de passe, c'est comme son code bancaire, même si c'est ta banquière, dans son bureau, qui te le demande, il ne faut JAMAIS le donner à qui que ce sois.

Et bien voila, c'est donc fini pour aujourd'hui, j'espère que cela vous aura plu !À bientôt pour un nouveau The Hack Story Smiley Wink

@march

Merci au différentes personnes sur twitter ayant participé à la discutions, tout particulièrement @bortzmeyer.




http://