Menu Fermer

Défacement de site internet

Le défacement ou défaçage de site (ou encore defacing en anglais) de site internet est une forme d’attaque qui vise à remplacer la page principale ou toutes les pages par une page WEB spécifique.

Voici quelques explications sur ce type d’attaques WEB.

Introduction

Le défacement utilise, en général, des vulnérabilités ou failles sur le site internet visé afin de pouvoir remplacer les pages WEB.
Il s’agit ici plutôt de vandalisme, le mot anglais, qui provient de l’ancien français « desfacer », peut être rendu par « dégradation » ou « vandalisme ».

L’objectif des pirates qui s’adonnent à aux pratiquement de défaçages ont, peut être séparés en deux :

  • Hacktivisme : le pirate cherche à faire passer un message, souvent à caractère politique. Ainsi, plus le pirate touchera de sites WEB, plus son message aura de porté.
  • Prestiges / concours entre pirates : concours entre des groupes de hackers à qui touchera le plus de sites WEB.

Ces groupes exploitent des vulnérabilités sur les CMS (WordPress, Joomla) etc connues ou ont des bots qui parcourent le net à la recherche de vulnérabilités plus classiques : Attaques WEB les plus communes

Hacktivisme

Voici quelques exemples de défacement liés à de l’hacktivisme.
Janvier 2015, les sites WEB français sont ciblés par des groupes de hackers, à cause des publications de Charlie-Hebdo : Charlie-Hebdo : opération de “defacing” ciblant les sites FR.
Des centaines de sites internet français voient leurs pages d’accueils vandalisées.

Un exemple de page défigurée avec un message #OpFrance :

ou encore des sites d’antivirus défigurés : plusieurs sites defaced (avg, antivir, eset, metasploit etc)
Le but est d’y laisser un message politique sur le conflit israelo-palestinien.

Dans ce cas précis, les sites internet n’ont pas été piraté, mais le registrar (le service internet qui gère les noms de domaines) ont subi un piratage qui ont permis de modifier les serveurs DNS des domaines des antivirus.
Cela permis de provoquer une redirections lors de l’accès aux sites antivirus vers ces pages politiques.

Les sites Canal+ ont aussi subit ce type d’attaque en Mars 2016. : Les sites Web de Canal+ et Canalplay attaqués et defacés

L’attaque a été revendiquée par deux groupes de hackers connus sous le nom d’AMAR^SHG ainsi que le groupe Moroccanwolf, respectivement originaires d’Albanie et du Maroc. Les attaquants ont profité du piratage du site pour diffuser un message portant sur la guerre en Syrie pour le site de Canalplay.

« Cette faille de sécurité n’est pas exploitée pour faire du mal, mais pour diffuser un message au reste du monde. Depuis trois ans, les Syriens souffrent de la faim, de la soif et du froid. Des femmes sont violées, des enfants meurent, des maisons sont détruites et malgré cela, le monde nous accuse de terrorisme » expliquait ainsi le message sur le site de CanalPlay.

Ces actes, si elles cibles des entreprises peuvent aussi mettre à mal l’image de cette société.
Il peut donc aussi s’agir d’armes économiques.

Concours de piratages

Ce qu’il faut savoir, c’est que chaque piratage sont reportés par les pirates sur des sites.
Le but étant de revendiquer ces piratages et comptabiliser ces derniers.
Il existe un véritable concours entre groupe de pirates pour savoir qui pirate le plus de sites.

Notamment le site suivant est utilisé à ces fins : http://www.zone-h.org/archive/filter=1/

Les groupes à l’origine du piratage, la date, l’URL du site et une capture d’écran de la page défacée sont enregistrés.

L’opération Charliehebdo évoquée précédemment :

Les attaques sont plus ou moins virulentes selon les épisodes politiques (opérations spéciales) mais aussi selon les vulnérabilités publiées sur les CMS (Joomla, WordPress etc).

Le 26 Janvier 2016, WordPress publie une nouvelle version 4.7.2 corrigeant une vulnérabilité qui permet d’éditer le titre et le contenu d’un article.
Cette vulnérabilité a été massivement exploitée par les groupes de défacement.
D’après le fondateur de l’extension de sécurité Wordfense, en 48 heures, plus de 800 000 attaques ont été enregistrées liées à cette vulnérabilité.

Les divers groupes à l’origine des attaques.
Plus de 1,5 millions de sites défacés.

Une recherche Google montre 65 000 sites WEB défacés par ce groupe :

source : https://www.bleepingcomputer.com/news/security/attacks-on-wordpress-sites-intensify-as-hackers-deface-over-1-5-million-pages/

Liens

Les autres attaques :