Le site internet du prix Nobel de la paix a été l'objet d'une attaque informatique en provenance de Taiwan, moins de trois semaines après l'attribution de la prestigieuse récompense au dissident chinois Liu Xiaobo.

Frank Stien, responsable des services de sécurité informatique de l'opérateur norvégien Telenor, confirme dans sa déclaration du journal Aftenposten que "Le site a été compromis ou, comme on le dit de façon plus populaire, attaqué", a -t-il déclaré.

RAPPEL DES FAITS

Il y a quelques temps un internaute visitant le site www.nobelpeaceprize.org, risquait de voir son ordinateur infecté par un programme extrêmement difficile à détecter appelé "cheval de troie", qui permet à l'agresseur de prendre, à distance, le contrôle de la machine.

Selon Frank Stien dispose, la dernière adresse IP utilisée par l'agresseur est celle d'une université taiwanaise, la National Chiao Tung University, mais cela ne signifie pas forcément que l'attaque ait été diligentée depuis Taïwan, les pirates utilisant souvent plusieurs ordinateurs pour camoufler leurs traces. "Nous ne pouvons rien dire sur l'identité de l'agresseur ni sur ses motivations", a-t-il précisé.

L'Institut Nobel d'Oslo a confirmé avoir eu connaissance de l'attaque mais a affirmé que la situation était revenue à la normale. "Ce n'est plus dangereux d'aller sur le site, le problème est résolu", a indiqué Sigrid Langebrekke, une responsable de l'institut, sans vouloir fournir plus de commentaires.

L'attribution, le 8 octobre, du Nobel de la paix à Liu Xiaobo, un dissident qui purge une peine de 11 ans de prison pour "subversion du pouvoir de l'Etat", a ulcéré le régime chinois, qui multiplie depuis les gestes de mauvaise humeur à l'encontre de la Norvège.

Analyse

Suite à cet act de piratage, j'ai mené l'enquête sans outils, ni éléments autres que ceux fournis par l'article du figaro, si ce n'est une bonne connaissance de l'internet et plus particuliérement de google.

Premiérement, j'ai tenté d'identifier l'outil utilisé pour la création du site, rapidement entre le robots.txt et une page d'erreur provoquée affichant comme texte

Je décide de demander à google un peu plus d'informations et là, pas de mystère, google pointe beaucoup de sujets en rapport avec le cmsmadesimple comme le prouve la page de résultat de recherche. J'en déduis donc à 95% que le site utilise Cmsmadesimple, que je m'empresse de télécharger pour y regarder la structure des fichiers et dossiers et ce qu'elle contient. Je vous passe le moment ou décompresse l'archive... et je vois donc des fichiers, je tente de regarder le robots.txt mais il n'est pas présent à la racine du site, je regarde dans DOCS et la bingo il y a tout, je compare le robots.txt du site et celui présent dans l'archive c'est tout simplement le même.

J'en profite pour tenter de connaître la version du Cmsmadesimple installée sur le site de l'Institut Nobel d'Oslo et la je découvre facilement et malgré l'interdiction 403 sur le dossier DOC que j'arrive à lire le changelog est donc connaître la version installée. Ce n'est rien de plus qu'une version vieille du 16 Octobre 2007 : il y a donc plus de 3 ans de manque de mise à jour. Evidement rien ne prouve avec exactitude que le site n'utilise pas une version plus récente et que le responsable du site internet a peut-être juste oublié de supprimer l'indice du changelog et le contenu du répertoire DOC.

Voilà, ce site n'étant pas destiné à aider les  pirates,  je ne donnerai pas le ou les exploit(s) pour tenter de reproduire ce qu'a subi le site depuis l'ip de taiwan mais google lui est assez doué pour référencer tout ce qu'on lui donne.

Ce qui faut retenir de la mésaventure de ce site :

• Toujours être à jour.
• Ne pas laisser de traces importantes comme le changelog, docs, readme ou installation ...
• Faire de la veille sur les solutions et technologies utilisées.

Aux yeux de certains cela ne semble pas important mais il m'a fallu moins de 5 mins pour identifier le cms utilisé et trouver la faille  qui pourrait bien être la cause de ce piratage.