100 000 sites Web effacés suite à l'attaque d'un hébergeur britannique
La mauvaise gestion des mots de passe ou une faille de sécurité d'un outil de virtualisation pourraient être à l'origine de cette attaque. La moitié des clients de VaServ, l'hébergeur, ne possédaient pas de sauvegarde.
Un hébergeur britannique de sites Internet, VaServ, vient d'être victime d'une attaque massive sur ses serveurs. 100 000 sites de clients principalement britanniques et américains auraient été effacés par les pirates dimanche dernier, et ce d'un seul coup.
Bien que les investigations sur la nature de l'attaque soient toujours en cours, deux hypothèses sont permises pour comprendre le mécanisme de l'attaque.
D'une part, des messages anonymes postés sur un forum spécialisé par les supposés pirates laissent à penser que ces derniers ont utilisé des mots de passe leur donnant accès à la racine des serveurs. Cela aurait été rendu possible, toujours selon cette source anonyme, par une mauvaise gestion des mots de passe par la société VaServ. La société qui aurait utilisé de manière récurrente les mêmes mots de passe pour accéder à différents niveaux de leur système. Les pirates auraient alors récupéré ces mots de passe, et se seraient introduits ensuite au cœur du système pour effacer les données. Mais Rus Foster, le directeur de VaServ, a démenti une telle information.
Pour l'heure, aucune information n'a été communiquée sur l'identité du ou des hackers à l'origine de cette attaque.
Selon lui, et c'est la seconde hypothèse, les pirates auraient exploité une faille zero day d'un logiciel de virtualisation, HyperVM, utilisé par VaServ. HyperVM est publié par la société indienne LXLabs, et permet à VaServ de proposer des serveurs virtuels à ses clients. Cette faille exploitée via une injection SQL, les pirates se seraient alors introduits dans les serveurs de VaServ, et auraient utilisé une commande Unix pour effacer les données des serveurs. Mis directement en cause par VaServ, KT Lingesh, 32 ans, le responsable du développement de la société LXLabs, a été retrouvé mort lundi matin par les autorités indiennes, qui ont conclu à un suicide.
Pour l'heure, aucune information n'a été communiquée sur l'identité du ou des hackers à l'origine de cette attaque. Par ailleurs, nul ne sait s'ils ont copié des données du système de VaServ avant de les effacer. Mais si tel est le cas, des informations bancaires des clients de VaServ pourraient être utilisées incessamment.
Suite à l'attaque, les équipes de VaServ se sont mises au travail pour effectuer le backup des données effacées, et répondre aux inquiétudes des clients. Mais il s'avère que la moitié des clients de VaServ avaient choisi de manager eux-mêmes leurs données, se passant ainsi de tout service de backup fourni par l'hébergeur.
Dès lors, si ces clients n'ont pas mis en place à leur niveau un système de backup, leurs données sont définitivement perdues. Selon VaServ, ce serait le cas d'au moins la moitié des sites effacés dimanche dernier.
Cette nouvelle affaire de perte de données met en avant la question de la gestion de la sauvegarde, tout comme celle du choix de la prestation d'hébergement des sites Internet. S'il est en effet capital que l'hébergeur s'engage à sauvegarder régulièrement les données de ses clients, ces derniers doivent aussi mettre en place à leur propre niveau des procédures de sauvegarde, et ce afin de multiplier les chances de conserver des informations, en cas de mauvaise manipulation ou d'attaque délibérée.