APS.DZ LES DESSOUS D’UNE ATTAQUE

Rédigé par Karim Khelouiati - - 3 commentaires

Le 31 Mars 2017 vers 15h06 locale (heure d’Algérie) la page d’accueil du site web principal de l’Agence de presse Algérienne à été modifier, laissant apparaître une photo animée qui est la marque de fabrique d’un (hacker) Algérien,


J’ai essayer de comprendre comment le site web officiel d’une institution aussi importante peux subir ce genre d’attaque, voir ici le cache de l’exploit http://www.zone-h.org/mirror/id/29001052  (Attention la bande sonore contient une chanson pour adultes)


En premier lieu , je me suis documenter sur le site de l’APS, quelle est le type d’hébergement (dédié ou mutualisé), l’emplacement géographique réel du site (hébergement physique), et enfin qui est chargé du technique (le Whois),


Première surprise, je découvre que APS.DZ est sur un serveur dédié aux USA, plus exactement au Massachusettset au Kansas !!!!







Et pourtant le Ministre de la Communication avait signifier sur les colonnes du quotidien LIBERTÉ datant du 28 Novembre 2016 de la nécessité que les sites d'informations électronique soient hébergés physiquement en Algérie. Voir le Lien .


Je ne vais pas encore développer sur la nécessité que la machine qui héberge un site qui gère toute la communication d'une nation soit en Algérie, cela fait plus de 15 ans que je le répète.... bref.



Passant maintenant à l'attaquant, cette personne qui a pus changer la page d'accueil en changeant simplement le fichier [index.html], est un jeune qui à déjà fais cela des centaines de fois, mais n'a jamais toucher un site Algérien.
En faisant une petite analyse sur sa chaîne YouTube et sa page Facebook, nous nous rendons vite compte que cette personne utilise des scriptes tous fait émanant du darknet, qu'il est arabisant, qu'il est situé géographiquement dans une zone entre Bouira et Tizi Ouzou, son age se situe entre 19 et 26 ans.
En sommes c'est un script kiddies ou Lamer (tout bonnement un débutant utilisateur de tous ce qu'il peut ramasser sur internet)

Juste après avoir commis son forfait, il a poster sur sa page Facebook en donnant les liens etc




En fin de soirée , coup de théâtre , l'attaquant efface les publications sur sa page Facebook liées au forfait de l'APS et désactive sa chaîne YouTube. !!!
Ce comportant nous assure que la personne à été manipuler.



Le modus operandi  
Il y a pas 36 chemins pour faire cela: les principales pistes sont:

1- l'exploitation d'une faille non encore colmaté du CMS utilisé par l'APS, en l’occurrence SPIP.
Si le staff technique à omis de faire des mises a jours de sécurité, mais j'ai totalement écarter cette voix puisque l'APS à d'autres sites régionaux qui eux sont héberger en Algérie chez FAWRI et qui sont aussi sous SPIP et qui ont été épargner.

2- L'exploitation d'une faille sur le système d'exploitation de la machine qui héberge le site, puisque APS.DZ est sur un serveur dédié. c'est fort possible , surtout si l'infogérance n'est pas assurée par la société américaine et que c'est le staff technique qui s'en occupe.

3- L'injection d'un cheval de troie (trojan) par courrier ou autres, au niveau des locaux de l'APS qui guette une connexion FTP, des lors qu'une personne de l'APS tente d’accéder au site en ftp il accroche des bouts de codes sur les fichiers distants, ouvrant une porte dérobée, donnant l’accès direct à l'attaquant. même cette technique est à oublier, suivant le même raisonnement que la première.


Conclusion, tout porte à croire que c'est l'OS de la machine qui à été attaqué en utilisant une vulnérabilité qui n'a pas été patchée à temps.

Je vous laisse à vos commentaire, mais je laisse ouvert ce billet en attendant d'autres info.

3 commentaires

#1  - Salim a dit :

Salam

Je suis totalement déçu par le contenu de cet article. Émanant d'un "spécialiste en sécurité", c'est vraiment décevant. Et on se demande comment des sites algériens puissent être attaqués si nos "experts" se trompent de diagnostics et avancent des affirmations sans même prendre le temps de les vérifier. Monsieur l'expert voici ci quelques éléments qui pourront vous aidez à mieux diagnostiquer et éviter d’écrire, et je m'excuse de ces termes, des idioties. :
L e CMS : Joomla et non Spip.
Les sites Amazigh et Anglais : sont hébergés dans les locaux de l'APS !!! et non pas chez Fawri !!!!!!!

Cordialement

#2  - Karim Khelouiati a dit :

@Salim :
Bonjour Salim,
En ce qui concerne le nom du CMS, plutôt dire que c’était difficile de le savoir puisque votre site était hacké, !!!!
En ce qui concerne les sites régionaux ils sont chez FAWRI, le fait
qu'ils soient chez vous cela ne change rien a mon raisonnement.
Mais ce n'est pas ces deux petites broutilles de détails qui vous permet de m'insulter.PS: Je vous conseil vivement de fermer votre port 1723 xD

#3  - Salim a dit :

Salam

Avant tout je ne vous ai pas insulter. Mon éducation ne me le permet pas.
Je n'ai fais que corriger certaines affirmations de votre part.
Fawri n'est pas l’hébergeur des sites en question, je vous l'assure. Mais si vous persistez c'est votre affaire.

Encore une fois, je n'ai insulter personne.

Cordialement.
PS: Merci pour le conseil

Fil Rss des commentaires de cet article

Écrire un commentaire

Quelle est la quatrième lettre du mot aiqdvq ?