Un ancien hacker "black hat", aujourd'hui repenti, a découvert que des hackers roumains avaient accédé à des serveurs de Yahoo en exploitant les failles "shellshock" découvertes dans le shell Bash.

"Techniquement, jadis, j'ai porté un "chapeau noir" (black hat), comme vous pourriez dire. Je ne suis pas étranger au FBI, tout comme ils ne me sont pas étrangers. J'ai été accusé et mis en examen pour des délits informatiques dans le passé, pour lesquels je n'ai jamais été condamné. Ces jours-ci, j'essaye d'utiliser les capacités de mon cerveau pour des choses plus utiles que de causer du tort".

C'est par ces mots que l'ingénieur Johnathan D. Hall, président de la société Future South Technologies, a écrit à Maryssa Mayer pour la prévenir directement que certains serveurs de Yahoo avaient été compromis par des hackers roumains, qui ont profité des failles découvertes dans le shell Bash. Il a dû se résoudre à contacter directement la présidente de Yahoo après avoir échoué à contacter la société par les moyens publics mis à disposition, y compris par téléphone. C'est uniquement lorsqu'il a alerté le FBI que Yahoo s'est décidé à lui répondre, sommairement.

Celui qui s'est reconverti en hacker "white hat" a découvert en étudiant les failles de Bash et ses exploitations possibles qu'un script hébergé sur un domaine WinZip.com (appartenant à l'éditeur du célèbre logiciel de compression de fichiers) tentait de découvrir des serveurs vulnérables, qui exécutent des commandes bash malveillantes. En creusant, avec une méthode qu'il détaille sur son site internet, l'homme s'est aperçu qu'il s'agissait d'un script de botnet contrôlé via un serveur IRC sur lequel étaient diffusés les noms des serveurs vulnérables et piratés.

Or c'est en surveillant ce salon de discussion qu'il a découvert que des serveurs de Yahoo (et de Lycos) avaient été compromis, sans qu'il soit possible de savoir l'étendue des données auxquelles ont potentiellement accédé les pirates.

Les deux serveurs compromis étaient dip4.gq1.yahoo.com et api118.sports.gq1.yahoo.com. Mais "ce ne sont pas les boîtes (serveurs) initiaux compromis qui peuvent être la menace, c'est à quel point les individus peuvent être doués pour traverser les réseaux et creuser plus loin", prévient Johnathan D. Hall. "Il y a dix ans, j'ai déjà été à la racine de vos serveurs web principaux et j'ai commencé à chercher des informations à vendre. Les temps ont changé", mais les risques demeurent les mêmes, a-t-il ajouté.

En réponse, Yahoo s'est contenté de confirmer l'intrusion, et que des investigations étaient en cours.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !