Attaque de Météo France
Général :
Hier et aujourd'hui, une des plus grosses puissances de calcul de France a été attaquée. En effet, les domaines ciblés (http://meteofrance.com/ http://meteofrance.fr/ ) ont subi un défacement de leur page d’accueil.
Méthodologie de l’attaque :
La méthodologie de l’attaque n’est pas encore connue avec certitude. Cependant, pour beaucoup d’experts, ce serait lié au DNS. En effet, on a pu constater un changement de ces derniers pour des DNS d’un hébergeur gratuit. Evidemment les hébergeurs gratuits limitent la bande passante et les ressources processeur allouées aux options gratuites. Ce qui a vite rendu inefficace le défacement de Météo France en affichant très rapidement un page d’indisponibilité du serveur :
Revendication :
L’attaque a été revendiqué par le groupe Amar^SHG qui est déjà connu notamment pour avoir attaqué Canal+ au mois de Mars 2016. Les motifs de cette attaque seraient la guerre dans le monde et la bêtise humaine tel que le laisse présager les textes des pages défacées.
Chronologie de l’attaque :
23/05/2016 22H48 UTC : Enregistrement du piratage de http://meteofrance.com/ sur le site Zone H
24/05/2016 01H19 UTC : Météo France communique sur l’incident :
24/05/2016 03H01 UTC : Enregistrement des piratages des sites http://meteofrance.eu.com/ http://mymeteofrance.com/ http://meteofrance.mq/ sur le site Zone H
24/05/2016 03H03 UTC : Annonce de Météo France sur Twitter de l’identification et de la résolution du problème
24/05/2016 8H23 UTC : Le site http://meteo-france.fr/ touché par rebond (le nom redirige vers météofrance.com) Le serveur gratuit vers lequel redirigent les noms de domaine est d'ailleurs Hors Ligne, la page de défacement n’est plus visible.
24/05/2016 10H00 UTC : Le domaine http://meteo-france.fr/ a récupéré des DNS chez Oxyd, ce ne sont pas les DNS habituels cependant.
24/05/2016 10H04 UTC : Au tour du domaine http://meteofrance.com/ de récupérer des DNS chez Oxyd. Ce ne sont pas les DNS habituels cependant.
24/05/2016 10H40 UTC : Météo France réagit sur Twitter pour indiquer la résolution de l’incident. Les DNS sont à nouveaux correctement paramétrés :
-DNS1: CADILLAC.METEO.FR
-DNS2: VIVALDI.METEO.FR
Webographie :
-https://twitter.com/meteofrance/
-http://www.nextinpact.com/news/99955-meteo-france-rencontre-problemes-avec-certains-ses-noms-domaine.htm
-https://twitter.com/bortzmeyer
-https://www.facebook.com/Walty.Eternia/posts/604377473064470
-https://www.zone-h.org/mirror/id/26304958
-https://www.zone-h.org/mirror/id/26305360
-https://www.zone-h.org/mirror/id/26305359
-https://www.zone-h.org/mirror/id/26305358
Une petite nouveauté: Je propose désormais le contenu de mes articles en PDF:
https://www.dropbox.com/s/chlwp7weltwqnxw/Attaque%20de%20M%C3%A9t%C3%A9o%20France.pdf?dl=0
Licence: CC-BY-NC-ND
Je connais Kuroi'SH, c'est un simple détournement de DNS....
Comme pour canal+, rien d'extraordinaire en soit
@MyName: Je n'ai pas dit ca non plus t'inquiète, je précise juste pour ceux ne s'y connaissant pas trop ^^
Ça craint non ? Je pense pas que ce soit un simple squatte de dns en mode on a oublié de renouveler
Une faille majeur potentielle dans le protocole dns ?
@MyName: Alors tout simplement, le mot de passe de gestion de leur fournisseur de dns bêtement hacké ?
@MyName: Ben je suis pas un expert sécurité bac+10 mais je pense pas qu'il y ait 36 solutions.
Constat: le domaine meteofrance.xxx ne pointe plus vers la bonne ip
1 - L'ip a été changé à la source par un hacker ayant les accès ou bien un employé mal intentionné.
2- Faille découverte dans le protocole dns
3 - attaque DNS Spoofing/man in the middle /Cache Poisoning/etc... mais comment impacter tout les utilisateurs dans ce cas ?
4 - Autre chose ? Mes connaissances s'arretent là ( a priori c'est pas un simple defacing)
Il aurait été interessant de savoir si en pointant directement sur la bonne ip connue, on arrivait au bon endroit, tu a des infos là dessus ?
@Pouki: Nope. Par contre après avoir échangé, on pense que ce serait un phishing sur météofrance, accès au panel d'admin, modification des DNS.
PS: Deux auteurs m'ont appris des fautes sur la chronologie, notamment sur les heures. Un des sites n'est pas bon. Cependant, je me pose bien la question sur l'affichage des heures sur twitter 24 ou 12 ?
Attention: Des fautes au niveau de le chronologie m'ont été remontées via twitter. J'attends plus d'informations pour demain, je referais sûrement une autre box pour les fautes. DSL MyBad
De plus, ce n'est pas "Kuroi'SH" qui a detourner, tout ce qu'il sait il l'a appris de XII (Moi).
@Theos13: j'te conseillerais de te renseigner à propos de ce qu'il pense de toi x)
Dans tous les cas, utiliser des 0dayz bêtement sans savoir comment ça fonctionne j'appelle pas ça un exploit....
Même technique que canal+: une simple 0dayz sur le serveur du gérant des DNS
@kromae: C'est moi qui lui ai tout appris. Mais si tu te souviens notre derniere discussion ou je me suis "defouler", tu vaut pas grand chose de plus. Vasy que pense il de moi ? J'ai plus de compétences que vous tous réunis sur ce site
@kromae: Ta pas pu voir comment je me debrouille, normal tu cherche des SQL avec ton "programme" dont tu nas pas d'idée, et bien sur apres monsieur dis: "le carding c'est pas mon truc" donc je cherche un injection SQL sur un site de vente je previens le webmaster je suis celui qui sait tout et qui recadre les otres. Avant de critiquer mes eleves (que j'ai former), critique toi toi
@Theos13: Je crois que tu me confonds avec quelqu'un d'autre ^^
Surtout que Kuroi'SH serait ravi de te dire que c'etait mon "eleve" ( Il le dit un peu à tout le monde d'ailleurs )
kuroi [11:10 PM]
Je te crois quad tu me dis que Zei/Emely.H c'est pas toi, mais du coup, ce serait pas XII qui joue un double jeux ? :open_mouth:
Voila ce qu'il pense de toi entre autre, Il m'a aussi dit que tu etait un cas perdu °°
Sinon, je doute que tu puisse dire que tu as plus de compétences que tout le monde ici sans meme connaitre les dites personnes :D
Et puis, sur la scène, on reconnais les capacités d'une personne avec des preuves, pas avec des paroles ;)
@kromae: Nous au moins tu vois on agit, je te croyais plus évoulé que ça, c'est pas moi qui rate le bac qui est donné a tout le monde.
Comment ça Emely c'est moi ? Tout le monde sait que c'est toi, parcontre le "tout le monde" c'est rien évidamment, je vois pas trop ton interet a emmerder les noobs avec ta dite supériorité mais tu vaut pas mieux que Omer.
Oui j'ai plus de compétences que ces gens qui reste cloué devant leur télé et qui suivent betement des cours d'informatique alors qu'a 18 ans ils save rien faire. Croi moi je suis plus fort que toi + tous ce qui ont posté réuni sur cette article
Edit: si tu veux que sa tourne au deba petit je suis la mais meme avec tes morves de sbires réunis tu fais pas le poid ;)
@Theos13: Je finirais sur ce message...
Tu me confonds surement avec quelqu'un d'autre pour la simple est bonne raison que je n'ai jamais passer le BAC °°
Sinon, si tu savais qui je suis, mon twitter suffirais à te prouver que j'agis aussi...
Les defaces c'est pour les enfants, surtout quand elles sont mises grace à des 0dayz trouvées sur le net ._.
@kromae: Les paroles c'est pas des preuves ;) si tu relis ce que j'ai dit, j'ai parlé de tes agissements plus haut, je veux pas me disputer avec toi mais tu as coller des etiquettes sur kuroi'sh (pour ce qui n'ont pas compris, AMAR^SHG), sur Moi ( XII/XIII), sur thibahack, sur plein de monde, pour toi une personne est un cas mort si tu ne l'apprécie pas ça commence à bien faire, tu crois pas que c'est pathetique de juger les gens pour leurs erreurs ? Je veux des explication j'te compprend pas
Tu ne dois accéder à ce site que si tu as au moins 18 ans ou si tu as l'âge légal pour visionner ce type de matériel dans ta juridiction locale, l’âge le plus élevé étant retenu. En outre, tu déclares et garantis que tu ne permettras aucun mineur à d'accéder à ce site ou à ces services.
En accédant à ce site, tu acceptes nos conditions d'utilisation.