Ce n’est pas tous les jours qu’un chercheur en sécurité acquiert la capacité de générer des certificats HTTPS contrefaits, de suivre l’activité des emails et d’exécuter du code de son choix sur des milliers de serveurs—tout cela en une seule action qui n’a coûté que 20 dollars et quelques minutes. Mais c’est exactement ce qui est arrivé récemment à Benjamin Harris.
Harris, le PDG et fondateur de la société de sécurité watchTowr, a réalisé cela en enregistrant le domaine dotmobilregistry.net. Ce domaine était autrefois le foyer officiel du serveur WHOIS pour .mobi, un domaine de premier niveau utilisé pour indiquer qu’un site web est optimisé pour les appareils mobiles. À un moment donné—il n’est pas clair exactement quand—ce serveur WHOIS, qui sert de répertoire officiel pour chaque domaine se terminant par .mobi, a été relocalisé, de whois.dotmobiregistry.net à whois.nic.mobi. Pendant qu’il se retirait dans sa chambre d’hôtel à Las Vegas lors de la conférence de sécurité Black Hat le mois dernier, Harris a remarqué que les anciens propriétaires de dotmobiregistry.net avaient laissé le domaine expirer. Il l’a donc récupéré et a mis en place son propre serveur WHOIS .mobi.
Confiance mal placée
À la grande surprise de Harris, son serveur a reçu des requêtes de légèrement plus de 76 000 adresses IP uniques dans les quelques heures suivant sa mise en place. Au cours de cinq jours, il a reçu environ 2,5 millions de requêtes de près de 135 000 systèmes uniques. Les entités derrière les systèmes interrogeant son domaine obsolète comprenaient un éventail d’acteurs majeurs d’Internet, notamment des bureaux d’enregistrement de domaines, des fournisseurs d’outils de sécurité en ligne, des gouvernements des États-Unis et du monde entier, des universités et des autorités de certification, les entités qui délivrent les certificats TLS de confiance par les navigateurs pour faire fonctionner le HTTPS.
« La recherche de watchTowr a démontré que la confiance accordée à ce processus par les gouvernements et les autorités du monde entier devrait être considérée comme mal placée à ce stade, selon [notre] opinion », a écrit Harris dans un article documentant sa recherche. « watchTowr continue de s’inquiéter de la réalité fondamentale : watchTowr a trouvé cela par pur hasard dans une chambre d’hôtel en échappant à la chaleur de Vegas lors de Black Hat, tandis que des États-nations mieux dotés et concentrés cherchent des failles comme celle-ci tous les jours. Selon watchTowr, ils ne seront pas les derniers à découvrir des défauts inexcusable dans un processus aussi crucial. »
Le WHOIS a joué un rôle clé dans la gouvernance d’Internet depuis ses débuts, à l’époque où il était encore appelé ARPANET. Elizabeth Feinler, une scientifique de l’information travaillant pour le Augmentation Research Center, est devenue l’investigatrice principale du projet NIC, pour Network Information Center, en 1974. Sous la direction de Feinler, NIC a développé le système de nommage des domaines de premier niveau, ainsi que la table des hôtes officielle, et a publié le répertoire ARPANET, qui agissait comme un annuaire des numéros de téléphone et adresses e-mail de tous les utilisateurs du réseau. Avec le temps, le répertoire évolua vers le système WHOIS, un serveur basé sur les requêtes fournissant une liste complète de tous les noms d’hôtes d’Internet et des entités qui les avaient enregistrés.
Malgré son apparence vieillissante, le WHOIS reste aujourd’hui une ressource essentielle avec d’énormes conséquences. Les avocats poursuivant des revendications de droits d’auteur ou de diffamation l’utilisent pour déterminer le propriétaire d’un domaine ou d’une adresse IP. Les services de spam s’en servent pour identifier le véritable propriétaire des serveurs de messagerie. Les autorités de certification s’y appuient pour déterminer l’adresse e-mail administrative officielle d’un domaine. La liste est longue.
En tant que journaliste, je suis toujours surpris de constater à quel point la cybersécurité et les enjeux liés à la confiance sur Internet sont cruciaux. Les leçons tirées de cette expérience montrent à quel point la vigilance est nécessaire dans un paysage numérique en constante évolution. Il est impératif que nous, en tant qu’utilisateurs et professionnels, soyons conscients des vulnérabilités qui peuvent avoir des répercussions sur notre sécurité en ligne.