Des attaquants inconnus ont réussi à envoyer des e-mails depuis un compte sur les serveurs du FBI. Tôt le samedi matin (heure allemande) du 13.11.2021, de nombreux administrateurs américains ont dû faire face à un flot soudain d’e-mails. L’expéditeur était censé être le Federal Bureau of Investigation (FBI) des États-Unis. Les courriels ayant pour objet « Urgent : un attaquant dans le système » mettaient en garde contre une « attaque en chaîne sophistiquée » menée par un acteur de menace avancée.
Sommaire
Facile à voir comme un faux message
Le message a été envoyé depuis l’adresse IP 153.31.119.142 (mx-east-ic.fbi.gov) avec l’expéditeur [email protected]. Ceux qui ont examiné de plus près le texte du courrier et qui connaissent bien le milieu de la sécurité ont rapidement compris que cet avertissement était forcément un faux. Vinny Troia a été désigné comme l’acteur de la menace. M. Troia est le responsable de la recherche en matière de sécurité au sein des sociétés de renseignement sur le dark web NightLion et Shadowbyte. L’homme a ensuite été inondé d’appels téléphoniques d’utilisateurs concernés.
L’organisation à but non lucratif SpamHaus confirme bientôt dans un tweetque les courriels d’avertissement proviennent bien du FBI/DHS (Federal Bureau of Investigation/Department of Homeland Security), mais que leur contenu est simplement factice.
Ces faux e-mails d’avertissement sont envoyés à des adresses apparemment extraites de la base de données ARIN. Au total, plus de 100 000 courriels auraient été envoyés, causant beaucoup de perturbations aux destinataires car les en-têtes des messages étaient authentiques et ils étaient envoyés depuis l’infrastructure du FBI. Les filtres anti-spam laissent passer ces messages sans les contester.
Le matériel du FBI retiré du net
SpamHaus a écrit par la suite que, d’après sa télémétrie, les courriers ont été envoyés en deux vagues, à 5 h (UTC) et à 7 h (UTC). Toutefois, comme ces courriers ne contiennent pas de noms ou d’informations de contact dans la section signature, SpamHaus invite les destinataires à être prudents.
Quelques heures plus tard, le FBI a publié une mince déclaration indiquant que le FBI et la CISA étaient au courant de l’incident au cours duquel de faux e-mails ont été envoyés à partir d’un compte de messagerie @ic.fbi.gov. La situation est toujours en cours et aucune autre information ne peut être fournie pour le moment. Le matériel concerné a été rapidement mis hors ligne après la découverte du problème.
Motifs et auteurs inconnus
Le FBI demande au public de continuer à se méfier des expéditeurs inconnus dans les courriers et l’invite à signaler toute activité suspecte à ic3.gov ou cisa.gov. Toutefois, étant donné que les courriers électroniques en question proviennent de serveurs de messagerie de confiance, ce conseil n’aide pas vraiment les personnes concernées.
On ignore qui est à l’origine de ce piratage. Les milieux de la sécurité spéculent sur le contexte. L’atteinte à la réputation de Vinny Troia et de ses entreprises est un motif possible. Ou quelqu’un a voulu montrer que l’infrastructure informatique du FBI peut aussi être piratée.
[Update 15.11.2021 08:Uhr:]
La cause en était un grave manque de codage au FBI
Entre-temps, une personne portant le nom de « Pompompurin » s’est manifestée et affirme avoir mené l’action en référence à une grave lacune de codage au FBI. L’accès illégal au système de messagerie du FBI était possible via le Law Enforcement Enterprise Portal (LEEP) car un code de passe était transmis dans le code HTML du site web lors de l’enregistrement d’un compte utilisateur. Un petit script a suffi à « Pompompurin » pour envoyer des milliers de mails via le système de messagerie du FBI en utilisant ce mécanisme. Cette possibilité n’est plus disponible depuis samedi, le FBI ayant désactivé cette fonction.