Discussion :

[Stéphane le calme]

Archive.org, le référentiel stockant l'histoire de l'Internet, victime d’une cyberattaque : 31 millions de comptes utilisateurs compromis,
adresses e-mail et mots de passe exposés

Le 9 octobre 2024, Archive.org, l’un des plus grands dépôts numériques conservant l’histoire complète d’Internet, a été victime d’une cyberattaque majeure. Cette attaque a compromis les données de 31 millions d’utilisateurs, révélant des adresses e-mail et des mots de passe hachés. L’attaque a été découverte après que des utilisateurs ont remarqué des messages inhabituels sur la page d’accueil d’Archive.org. Ces messages indiquaient que les données de millions d’utilisateurs avaient été exposées et redirigeaient vers le site “Have I Been Pwned” (HIBP), un service permettant de vérifier si des informations personnelles ont été compromises.

Ceux qui ont visité The Internet Archive (www.archive.org) mercredi ont été accueilli par un pop-up affirmant que le site avait été piraté. Peu après 21 heures (heure française), Brewster Kahle, fondateur d'Internet Archive, a confirmé l'intrusion et indiqué que le site Web avait été défiguré par la notification via une bibliothèque JavaScript.

Voici ce que disait la fenêtre contextuelle :

« Avez-vous déjà eu l'impression que l'Internet Archive fonctionne sur des bâtons et qu'il est constamment sur le point de souffrir d'une faille de sécurité catastrophique ? C'est ce qui vient de se produire. Vous êtes 31 millions sur HIBP ! »

« Ce que nous savons : Attaque DDOS - repoussée pour l'instant ; défiguration de notre site web via la bibliothèque JS ; violation des noms d'utilisateur/email/mots de passe cryptés et salés. Ce que nous avons fait : Désactivation de la bibliothèque JS, nettoyage des systèmes, mise à niveau de la sécurité. Nous vous en dirons plus dès que nous en aurons connaissance ».

What we know: DDOS attack–fended off for now; defacement of our website via JS library; breach of usernames/email/salted-encrypted passwords.

What we’ve done: Disabled the JS library, scrubbing systems, upgrading security.

Will share more as we know it.

— Brewster Kahle (@brewster_kahle) October 10, 2024

HIBP est l'acronyme de « Have I Been Pwned ? », un site web qui permet aux internautes de vérifier si leurs informations ont été publiées dans des fuites de données provenant de cyberattaques. L'opérateur de HIBP, Troy Hunt, a confirmé qu'il avait reçu, il y a neuf jours, un fichier contenant « des adresses électroniques, des pseudonymes, des horodatages de changement de mot de passe, des mots de passe hachés par Bcrypt et d'autres données internes » pour 31 millions d'adresses électroniques uniques. Il a assuré que ce fichier était valide en faisant correspondre les données avec le compte d'un utilisateur.

Un tweet de HIBP a indiqué que 54 % des comptes figuraient déjà dans sa base de données à la suite de brèches antérieures.

Dans des messages publiés sur son compte, Hunt a donné plus de détails sur la chronologie, depuis le contact avec un membre d'Internet Archive au sujet de la violation le 6 octobre, et la poursuite du processus de divulgation jusqu'à ce que leur site soit défiguré et victime d'un DDoS aujourd'hui, au moment même où ils chargeaient les données dans le HIBP pour commencer à notifier les utilisateurs concernés.

Permettez-moi d'en dire plus sur la chronologie de cette affaire :

• 30 septembre : quelqu'un m'envoie la brèche, mais je suis en voyage et je n'ai pas réalisé l'importance de la situation.
• 5 octobre : J'ai l'occasion d'y jeter un coup d'œil - whoa !
• 6 octobre : j'entre en contact avec quelqu'un d'IA [Internet Archive] et lui envoie les données, en l'informant que notre objectif est de les charger dans les 72 heures.
• 7 oct : Ils confirment et je demande un avis de divulgation
• 8 oct : J'assure le suivi de l'avis de divulgation et j'indique que nous chargerons les données demain.
• 9 octobre : le site est défiguré et fait l'objet d'un DDoS, juste au moment où les données sont chargées dans HIBP.

La date du dernier point semble être une pure coïncidence. Il est également possible que plusieurs parties soient impliquées et, lorsqu'on parle de violation + défiguration + DDoS, il est clair qu'il ne s'agit pas d'une seule attaque.

Évidemment, j'aurais aimé que cette information soit divulguée beaucoup plus tôt, mais étant donné les attaques dont ils font l'objet, je pense que tout le monde devrait leur laisser un peu de répit. Il s'agit d'une association à but non lucratif qui fait du bon travail et qui fournit un service dont beaucoup d'entre nous dépendent fortement.

Let me share more on the chronology of this:

30 Sep: Someone sends me the breach, but I'm travelling and didn't realise the significance
5 Oct: I get a chance to look at it - whoa!
6 Oct: I get in contact with someone at IA and send the data, advising it's our goal to load…

— Troy Hunt (@troyhunt) October 9, 2024

Après avoir fermé le message, le site s'est chargé normalement, bien que lentement.

À 17h30 (heure française), la fenêtre contextuelle avait disparu, mais le reste du site aussi, ne laissant rien ou un message de remplacement indiquant que « les services de l'Internet Archive sont temporairement hors ligne » et renvoyant les visiteurs au compte du site sur X pour des mises à jour.

On ignore comment les cybercriminels ont pénétré dans l'Internet Archive et si d'autres données ont été volées.

Hier, l'Internet Archive a subi une attaque DDoS, qui a été revendiquée par le groupe hacktiviste BlackMeta, qui affirme qu'il mènera d'autres attaques.

Jason Scott, archiviste et conservateur de logiciels à l'Internet Archive, a confirmé que le site subissait une attaque DDoS, postant sur Mastodon que « d'après leur Twitter, ils le font juste pour le faire. Juste parce qu'ils le peuvent. Pas de déclaration, pas d'idée, pas de demande ».

L'Internet Archive, une ressource que j'utilise quotidiennement pour mes recherches, est en panne à la suite d'une cyberattaque DDoS. Celle-ci fait suite à une autre attaque qui aurait dérobé les identifiants des 31 millions d'utilisateurs. Le groupe hacktiviste BlackMeta a revendiqué cette attaque DDoS idéologique en réponse au soutien des États-Unis à Israël. Je suppose qu'ils n'ont pas compris que l'IA est une organisation à but non lucratif qui n'est ni financée ni liée de quelque manière que ce soit au gouvernement.

C'est le moment de vérifier ou de vous rappeler si vous avez utilisé un mot de passe simple ou réutilisé. Lorsqu'il reviendra, vous devrez très certainement réinitialiser votre mot de passe. Je vois que mes informations d'identification ont été volées dans les données de la brèche. Heureusement que j'ai utilisé un mot de passe généré spécifiquement pour ce site et que je ne l'ai utilisé nulle part ailleurs.

Plus que la Wayback Machine, l'Internet Archive est le seul endroit où un certain nombre de choses que je regarde et lis « vivent » en ligne, comme des livres épuisés et des émissions de télévision qui n'ont jamais été diffusées officiellement.

The Internet Archive, a resource I use daily for research, is down in the wake of a DDoS cyberattack. This comes after a separate attack which is said to have stolen the credentials of all 31 million users. BlackMeta hacktivist group has claimed responsibility for the… pic.twitter.com/F2R4I5xQjp

— ForgottenTV (@forgottentvshow) October 9, 2024

Analyse des causes et des solutions

Cette attaque met en lumière plusieurs failles potentielles dans la sécurité des données d’Archive.org. Les experts suggèrent que l’utilisation de mots de passe hachés, bien que plus sécurisée que les mots de passe en clair, n’est pas suffisante si les algorithmes de hachage ne sont pas robustes. De plus, l’absence de mesures de sécurité avancées, telles que l’authentification multifactorielle, peut rendre les systèmes vulnérables aux attaques.

Pour prévenir de telles attaques à l’avenir, il est crucial que les organisations investissent dans des technologies de sécurité avancées et adoptent des pratiques de gestion des données rigoureuses. Cela inclut l’utilisation de protocoles de chiffrement robustes, la mise en place de systèmes de détection des intrusions et la formation continue du personnel en matière de cybersécurité.

Conclusion

Cette brèche de sécurité met en lumière les défis constants auxquels sont confrontées les organisations qui gèrent des volumes importants de données sensibles. Elle souligne également l’importance de la vigilance et de la mise en place de mesures de sécurité robustes pour protéger les informations des utilisateurs. À une époque où les cyberattaques sont de plus en plus fréquentes et sophistiquées, il est essentiel que les organisations adoptent une approche proactive en matière de cybersécurité.

Source : HIBP

Et vous ?

Avez-vous déjà utilisé Archive.org ? Dans quel but ? Qu'en avez-vous pensé ? Disposez-vous d'un compte sur le site ?
Pensez-vous que les utilisateurs devraient être plus proactifs dans la gestion de leurs mots de passe et de leur sécurité en ligne ? Pourquoi ?
Comment les entreprises peuvent-elles mieux protéger les données de leurs utilisateurs contre les cyberattaques ?
Voyez-vous des solutions technologiques émergentes qui pourraient aider à prévenir de telles attaques à l’avenir ?
Comment cette attaque pourrait-elle influencer les politiques de cybersécurité des autres grandes plateformes en ligne ?

[Jules34]

Quelle classe de cibler Archive.org... de tout l'internet c'était pas la cible la plus éthique...

Sur twitter ça va déjà bon train : c'est l'industrie du copyright qui est derrière et c'est un complot des majors

[Mathis Lucas]

Des hacktivistes revendiquent la mise hors service d'Internet Archive : « ils sont attaqués parce que les archives appartiennent aux États-Unis et qu'ils soutiennent le génocide perpétré par Israël »

Internet Archive et Wayback Machine ont été mis hors service à la suite d'une cyberattaque majeure. Un groupe d'hacktivistes appelé SN_BLACKMETA affirme avoir mené l'attaque dans le but de protester contre le soutien des États-Unis aux agissements d'Israël au Moyen-Orient. Le fondateur du service en ligne HBIP (Have I Been Pwned) a décrit la chronologie des événements et a déclaré qu'un acteur de la menace a partagé avec lui une base de données de 6,4 Go qui semble provenir d'Internet Archive. Elle contiendrait des adresses électroniques, des identifiants, des mots de passe chiffrés en Bcrypt des utilisateurs enregistrés d'Internet Archive.

Revendication et raisons derrière des cyberattaques contre Internet Archive

Un groupe d'hacktivistes propalestiniens appelé SN_BLACKMETA a revendiqué l'attaque dans des billets publiés sur X et sur Telegram. « Ils sont attaqués parce que les archives appartiennent aux États-Unis et, comme nous le savons tous, ce gouvernement horrible et hypocrite soutient le génocide perpétré par l'État terroriste d'Israël », a écrit le groupe dans un billet sur X lorsque quelqu'un lui a demandé pourquoi il s'en était pris aux archives. Le billet du groupe expliquant son raisonnement sur X a été supprimé. Jason Scott, un membre d'Internet Archive, a fait une capture d'écran du message et l'a partagée.

« Tout le monde dit que cette organisation est à but non lucratif, mais si ses racines sont vraiment aux États-Unis, comme nous le croyons, alors chaque service gratuit qu'elle offre saigne des millions de vies. Les nations étrangères ne portent pas leurs valeurs au-delà de leurs frontières. De nombreux petits enfants pleurent dans les commentaires et la plupart de ces commentaires proviennent d'un groupe de robots sionistes et de faux comptes », dit le message.

SN_BLACKMETA a également revendiqué une attaque DDoS de six jours contre Internet Archive en mai dernier. « Depuis que les attaques ont commencé dimanche, l'intrusion DDoS a lancé des dizaines de milliers de fausses demandes d'information par seconde. La source de l'attaque est inconnue », note Chris Freeland, directeur des services de bibliothèque d'Internet Archive, dans un message sur les attaques enregistrées au mois de mai de cette année.

Jason Scott a déclaré que l'attaque n'était qu'une démonstration des capacités de SN_BLACKMETA. « Ils le font juste pour le faire. Juste parce qu'ils le peuvent. Pas de déclaration, pas d'idée, pas d'exigence », a-t-il déclaré. Jason Scott a fait référence à un message posté par un canal nommé SN_BLACKMETA sur Telegram, qui revendique l'attaque et laisse entendre qu'une nouvelle attaque est prévue pour vendredi 11 octobre, sans donner d'autres détails.

Imagine a group of children dealing with psychological and mental disorders, confused about their identity, suffering from deviant tendencies, trying to tell us what's right and wrong and how to help Palestine the correct way. Keep your advice and petty comments to yourselves.… pic.twitter.com/WHDFtIdxTh

— 𝐒𝐍_𝐁𝐋𝐀𝐂𝐊𝐌𝐄𝐓𝐀 (@Sn_darkmeta) October 10, 2024

SN_BLACKMETA a lancé son canal Telegram le 23 novembre 2023 et a revendiqué un certain nombre d'autres attaques, notamment une attaque DDoS de six jours contre des institutions financières arabes et diverses attaques contre des entreprises technologiques israéliennes au printemps. Il est connu pour ses attaques DDoS contre des entreprises du classement Fortune 500 et partage ses mises à jour en russe et en arabe sur les canaux Telegram.

La dernière attaque du groupe remonte au mois d'août 2024. SN_BLACKMETA a annoncé avoir perturbé le réseau de télécommunications de l'Arabie saoudite pendant trois heures. En mai, il a revendiqué la mise hors service du site Web de la compagnie aérienne Air France.

Piratage d'Internet Archive et de Wayback Machine : que s'est-il passé ?

Des pirates informatiques ont compromis l'historique d'Internet, la Wayback Machine d'Internet Archive, à travers une cyberattaque massive par déni de service distribué (DDoS). Selon les analystes, il n'est pas certain que les deux incidents de sécurité, la compromission de la base de données d'authentification d'Internet Archive contenant les détails des membres enregistrés, y compris les mots de passe hachés, et l'attaque DDoS, soient liés. Toutefois, les preuves semblent indiquer qu'il s'agit d'une attaque ciblée par le même acteur. Des experts affirment qu'il s'agit d'une cyberattaque majeure préoccupante.

Let me share more on the chronology of this:

30 Sep: Someone sends me the breach, but I'm travelling and didn't realise the significance
5 Oct: I get a chance to look at it - whoa!
6 Oct: I get in contact with someone at IA and send the data, advising it's our goal to load…

— Troy Hunt (@troyhunt) October 9, 2024

Le premier indice que quelque chose n'allait pas est venu du service lui-même, avec l'affichage d'une fenêtre de notification JavaScript pour les visiteurs du site archive.org : « avez-vous déjà eu l'impression qu'Internet Archive fonctionne sur des bâtons et qu'il est constamment sur le point de souffrir d'une faille de sécurité catastrophique ? C'est ce qui vient de se produire. Rendez-vous à 31 millions d'entre vous sur HIBP ! ». De nombreux rapports ont suivi.

HIBP est l'acronyme de « Have I Been Pwned », un site Web qui permet de vérifier si une adresse électronique a été compromise à la suite d'une violation de données. Dans un billet publié sur X, le fondateur de HIBP, Troy Hunt, a décrit la chronologie des événements et a déclaré que l'acteur de la menace avait partagé une base de données de 6,4 Go avec eux il y a quelques jours. Cette base de données d'authentification semblait provenir d'Internet Archive.

« Elle contiendrait des informations d'authentification pour les membres inscrits, y compris leurs adresses électroniques, leurs pseudonymes, les horodatages de changement de mot de passe, les mots de passe hachés Bcrypt et d'autres données internes », a déclaré Troy Hunt à Bleeping Computer . Le dernier horodatage de cette base de données donne un indice sur la date de la violation, à savoir le 18 septembre. Dans son billet sur X, Troy hunt explique :

Permettez-moi d'en dire plus sur la chronologie de cette affaire :

• 30 septembre : quelqu'un m'envoie la brèche, mais je suis en voyage et je n'ai pas réalisé l'importance de la situation ;
• 5 octobre : j'ai l'occasion d'y jeter un coup d'œil ;
• 6 octobre : j'entre en contact avec quelqu'un de l'IA [Internet Archive] et lui envoie les données, en l'informant que notre objectif est de les charger dans les 72 heures ;
• 7 octobre : ils confirment et je demande un avis de divulgation ;
• 8 octobre : j'assure le suivi de l'avis de divulgation et j'indique que nous chargerons les données demain ;
• 9 octobre : le site est défiguré et fait l'objet d'un DDoS. Ils sont défigurés et victimes d'un DDoS, juste au moment où les données sont chargées dans HIBP.

La date du dernier point semble être une pure coïncidence. Il est également possible que plusieurs parties soient impliquées et lorsqu'on parle de violation + défiguration + DDoS, il est clair qu'il ne s'agit pas d'une seule attaque.

Selon Troy Hunt, la base de données contient 31 millions d'enregistrements qui seront bientôt ajoutés à son service HIBP afin de permettre aux utilisateurs de vérifier si leurs données ont été exposées dans le cadre de cette attaque. Sur la base des preuves disponibles jusqu'à présent, Jason Meller, vice-président des produits chez 1Password et ancien stratège en chef de la sécurité chez Mandiant, affirme que la base de données d'Internet Archive a été exfiltrée.

Jason Meller a déclaré : « cela indique que l'infrastructure dorsale était accessible, et que leurs pages ont été défigurées, ce qui suggère que les attaquants ont un certain degré de contrôle sur le contenu Web servi aux utilisateurs ». Jason Meller a ajouté que le site Web ayant été mis hors ligne à plusieurs reprises, cela suggère que l'acteur de la menace a pris le contrôle de la couche réseau. Cette cyberattaque suscite de nombreuses préoccupations.

Potentielles implications du piratage d'Internet Archive

La bibliothèque numérique Internet Archive a été fondée en 1996 avec pour mission de fournir « un accès universel à toutes les connaissances ». Elle conserve des milliards de pages Web, de textes, d'enregistrements audio, de vidéos et d'applications logicielles. Son service le plus utilisé est Wayback Machine, un outil qui permet aux utilisateurs de parcourir des versions archivées de sites Web tels qu'ils sont apparus à différents moments de l'histoire, avec des instantanés de pages Web remontant aux premiers jours de l'Internet. Le site a été fondé par Brewster Kahle, informaticien et homme d'affaires américain.

Le travail du groupe va au-delà et comprend des collaborations avec des musées, des bibliothèques et des donateurs privés, ce qui a permis de constituer une collection de 145 pétaoctets de contenu, y compris d'anciens logiciels, jeux vidéo, programmes radio et enregistrements de concerts. Actuellement, les archives font l'objet d'un important procès pour violation des droits d'auteur liés au prêt gratuit de livres numériques pendant la pandémie de Covid-19.

Par ailleurs, la compromission d'une telle ressource pourrait en effet avoir de graves conséquences sur notre capacité à conserver l'historique du Web et d'Internet. À l'heure où nous écrivons ces lignes, les adresses "archive.org" et "openlibrary.org" n’ont toujours pas été rétablies. La première renvoie une page indiquant « Les services d'Internet Archive sont temporairement hors ligne » et la seconde renvoie une erreur de « type timed out ».

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des motivations du groupe d'hacktivistes ayant revendiqué l'attaque contre Internet Archive ?
Selon vous, quelles pourraient être les implications de cette cyberattaque contre Internet Archive et Wayback Machine ?
Causer des dommages à une bibliothèque numérique utile pour tous, y compris les hacktivistes eux-mêmes, est-il un moyen idéal de contestation ?

Voir aussi

Archive.org, le référentiel stockant l'histoire de l'Internet, victime d'une cyberattaque : 31 millions de comptes utilisateurs compromis, adresses e-mail et mots de passe exposés

Le groupe de cybercriminels Hacktiviste "Gay furry hackers" publie deux gigaoctets de données piratées du Projet 2025 de la Fondation Heritage, des conservateurs favorable à Donald Trump

Les attaques DDoS se multiplient : elles sont motivées par des considérations politiques visant à bloquer les utilisateurs et à provoquer un chaos numérique, en ciblant l'infrastructure et les sites web

[calvaire]

ils sont attaqués parce que les archives appartiennent aux États-Unis et qu'ils soutiennent le génocide perpétré par Israël

ah bah oui c'est parfaitement logique.
moi hier j'ai violé et tué une femme, car son marie et policier et il travail pour la France qui est membre de l’Otan et donc soutien les état unis qui lui meme soutient israel.


Perso la Palestine, j'en ai rien à branlé et ça commence a me faire chier qu'on en parle dans tous et n'importe quoi. Des partis politique qui en font leur cheval de bataille, des universités qui ferment, des manifs... même dans les tracts des syndicats de ma boite c'est évident que je vais avoir envie de rejoindre la cgt si ils défendent la Palestine.


La Palestine c'est surtout un moyen tres minable de faire de récupération de voix, de bons prétextes pour rien foutre et de faire grève ou encore pour les mégalo de se faire voir en manifestant pour une cause random dont tous le monde s'en branle.

[kain_tn]

Quel est votre avis sur le sujet ?

C'est comme pour les attentats: 1 attentat, 3 groupes différents qui le revendiquent.