Le site du FBI victime d’une faille Zero Day

Christophe Lagane,

Un pirate déclare avoir profité d’une faille zero day pour pénétrer le site du FBI et dérober des données privées sur ses agents.

Un pirate du nom de Cyberzeist s’est introduit, fin décembre, sur un serveur du site du FBI. Il aurait exploité une faille zero day du système de gestion des contenus (CMS) du site. Ce CMS réputé parmi les plus sécurisés du marché et édité dans le cadre du projet Open Source Plone, avait fait l’objet d’une alerte de sécurité le 22 décembre, rapporte Zataz. Une information que nous n’avons cependant pas réussie à retrouver, ni auprès de Plone ni du côté des CERT français comme américain.

Un webmaster paresseux

Toujours est-il que la vulnérabilité, baptisée Op lo4fer, s’est retrouvée sur le black market, où Zataz a probablement récupéré ses informations. Et Cyberzeist promet de diffuser le zero day… une fois qu’il l’aura vendu, rapporte le site spécialisé en suivi d’attaques informatiques. Et pour garantir le bienfondé de sa trouvaille, le pirate donne quelques détails sur son intrusion dans les arcanes numériques du FBI. « J’ai aussi découvert que [le site du FBI] tournait sous FreeBSD version 6.2. Il date de 2007, avec ses propres modifications signées par le FBI. La dernière réinitialisation date du 15 décembre 2016 à 18h32 », déclare-t-il selon des propos rapportés par Zataz.

Le pirate va même jusqu’à considérer le webmaster du site comme un paresseux alors que ce dernier a laissé trainer des fichiers de sauvegarde à la racine du site. Que Cyberzeist s’est empressé de récupérer. Les fichiers contiendraient des données privées (noms, emails et mots de passe chiffrés) du personnel du bureau fédéral. Le pirate en a publié en ligne une liste concernant de 155 agents.

Le zero day après le phishing

C’est la deuxième fois que Cyberzeist défit les huiles de l’agence de sécurité fédérale. La première fois, en 2011, il s’était introduit dans le réseau du FBI grâce à une opération de phishing. Il est également connu pour avoir défié la sécurité de plusieurs banques (Barclays, RBS, Tesco) mais aussi du MI5 britannique, du site de l’Etat de l’Alaska chargé des élections présidentielles américaines de 2016. Il serait également à l’origine des fuites du Parti Démocrate Américain et de la Fondation Hillary Clinton durant la campagne américaine. Des attaques également entreprises par un autre pirate, Guccifer 2.0.

A noter que le CMS du projet Plone est également utilisé par Amnesty International, la Nasa, plusieurs universités anglo-saxonnes, mais aussi Ebay, Google ou Akamai si l’on en croit le site dédié. Risquent-ils eux aussi une intrusion par zero day ?

Lire également
Message au FBI : hacker un iPhone ne coûte que 100 dollars !
Le FBI a-t-il exploité une faille inconnue pour traquer les utilisateurs de Tor ?
Google publie des requêtes sensibles du FBI en toute transparence

Crédit photo : Andy L sur Flickr.