Un hacker a réussi à envoyer des courriels à partir d’ordinateurs du FBI. Il y est arrivé en abusant d’une faille sécuritaire assez banale permettant de traiter un mail automatisé.
Quelque cent mille personnes ont reçu ce week-end du FBI l’avertissement d’une cyber-attaque. Ce mail provenait réellement d’ordinateurs des autorités américaines, mais fut expédié par un pirate sous l’appellation Pompompurin.
Le FBI confirme l’incident et déclare que le matériel impliqué a été ensuite rapidement retiré, sans donner d’autres détails.
Le hacker, qui prétend être à l’initiative de la vague de spam, a confié au spécialiste de la sécurité Brian Krebs qu’il aurait pu commettre des méfaits nettement plus sérieux, tout en expliquant comment il avait pu abuser d’une faille sécuritaire sur un portail du FBI.
Concrètement, il s’agit du portail Law Enforcement Enterprise (LEEP), une plate-forme conçue pour les services d’ordre. Celle-ci permet de solliciter un compte et d’obtenir par mail un mot de passe temporaire en vue de contrôler si l’adresse mail concernée est bien celle du demandeur.
Mais dans la pratique, ce mot de passe temporaire semblait déjà visible via le code HTML de la page web. Il était alors possible de traiter par manipulation le contenu de ce mail automatisé. Autrement dit, le système envoie à partir d’une adresse du FBI un mail de contrôle, mais ce dernier a réussi à traiter Pompompurin, ce qui fait qu’il a pu expédier un message auto-sélectionné vers tout un chacun à partir d’une adresse @ic.fbi.gov.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici