Internet Archive s’est enfin remis d’une série dévastatrice de cyberattaques le mois dernier, et tous ses principaux sites et services sont de nouveau opérationnels. Seules quelques fonctionnalités auxiliaires sont encore hors service, mais elles devraient bientôt revenir.
Dans un billet de blog publié en début de semaine, Chris Freeland, directeur des services de bibliothèque chez Internet Archive, a indiqué que la page des archives clés était en ligne, ainsi que la Wayback Machine, Open Library, le service Archive-It, Vault et le site des archives universitaires.
Sur la page des archives, la plupart des services semblent à nouveau disponibles, notamment les textes accessibles au public, la recherche et l’emprunt de journaux télévisés, les fichiers audio, les images animées, les téléchargements institutionnels, l’archivage Web institutionnel et l’accès via l’API. « D’autres services et fonctionnalités seront bientôt disponibles en ligne », a assuré Chris Freeland.
Bien que l’Internet Archive puisse apparaître à première vue comme un seul service, il fournit en réalité une variété de ressources. La page principale offre un accès gratuit aux artefacts numériques du passé, notamment des logiciels, de la musique, des films, des émissions de télévision et des livres. L’Open Library est dotée d’un énorme catalogue de livres électroniques que l’on peut lire et emprunter.
Archive-It est un service par abonnement qui aide les organisations à créer de grandes collections de vidéos, de publications sur les réseaux sociaux et d’autres contenus numériques. The Vault est un référentiel numérique et un service de préservation pour les bibliothèques et autres organisations.
Le déroulé des événements
Tous ces sites et services ont été touchés le mois dernier par une série de cyberattaques. Mais tout a commencé en septembre lorsque deux attaques ont touché Internet Archive.
La première était une violation de données qui a compromis 31 millions de comptes utilisateurs. Les cyber délinquants ont dérobé les noms d’utilisateurs, les adresses e-mail et les mots de passe chiffrés. En exploitant une bibliothèque JavaScript pour défigurer le site, les assaillants ont affiché le message suivant aux visiteurs : « Avez-vous déjà eu l’impression que l’Internet Archive fonctionne sur des clés USB et est constamment sur le point de subir une faille de sécurité catastrophique ? C’est arrivé comme ça. »
Un deuxième incident s’est produit à peu près au même moment : un groupe pro-palestinien appelé SN_BlackMeta a lancé une attaque DDoS (Distributed Denial of Service) contre les archives. Les pirates ont déclaré avoir attaqué le site « parce que les archives appartiennent aux États-Unis et, comme nous le savons tous, ce gouvernement horrible et hypocrite soutient le génocide perpétré par l’État terroriste d’Israël ».
L’ironie de l’attaque DDoS est que les archives sont une organisation à but non lucratif et non gouvernementale, sans aucun lien ni affiliation avec le gouvernement américain.
Un troisième incident a vu le vol de jetons d’authentification GitLab donnant aux cybercriminels l’accès à la plateforme d’assistance par e-mail du site. Plusieurs personnes qui avaient envoyé des courriels d’assistance à l’archive ont reçu la réponse suivante de la part des attaquants, comme indiqué dans un forum Reddit :
« Il est décourageant de constater que même après avoir été informé de la violation il y a quelques semaines, IA n’a toujours pas fait preuve de la diligence requise pour faire tourner de nombreuses clés API qui ont été exposées dans leurs secrets GitLab. Comme le montre ce message, cela inclut un jeton Zendesk avec des autorisations pour accéder à plus de 800 000 tickets d’assistance envoyés à [email protected] depuis 2018. Que vous essayiez de poser une question générale ou de demander la suppression de votre site de la Wayback Machine, vos données sont désormais entre les mains d’un inconnu. Si ce n’était pas moi, ce serait quelqu’un d’autre. »
Une cybersécurité négligée faute de moyens ?
Certains internautes qui se sont exprimés sur Reddit ont reproché à Internet Archive de ne pas avoir modifié ses clés API à la suite des premières attaques, tandis que d’autres ont compati. En tant qu’organisation à but non lucratif vouée au partage d’informations historiques précieuses, Internet Archive dispose d’un budget limité. Cela signifie que la cybersécurité risque d’être négligée.
« Dans le cadre d’une troisième attaque contre Internet Archive ce mois-ci, des pirates informatiques exploitent les jetons d’accès à l’implémentation Zendesk de l’organisation », a déclaré Ev Kontsevoy, PDG de Teleport. « Cela signifie qu’ils ont désormais accès à plus de 800 tickets d’assistance. Bien que de nombreuses personnes aient critiqué Internet Archive pour ne pas avoir renouvelé les clés API, il peut être difficile pour les organisations, après une violation, de déterminer le rayon d’action d’une attaque afin d’empêcher toute exploitation ultérieure. »
En raison des attaques, les archives ont été contraintes de se déconnecter et ont lentement repris un service à la fois.
« En plus d’une attaque DDOS et de l’exposition des adresses e-mail et des mots de passe cryptés des usagers, le JavaScript du site Web des archives Internet a été dégradé, ce qui nous a conduit à fermer le site pour y accéder et améliorer notre sécurité », a déclaré Brewster Kahle le 18 octobre. « Les données stockées dans les archives Internet sont en sécurité et nous travaillons à la reprise des services en toute sécurité. Cette nouvelle réalité exige une attention accrue à la cybersécurité et nous réagissons. Nous nous excusons pour l’impact de l’indisponibilité de ces services de bibliothèque. »