Pourquoi les sites web des grandes universités diffusent-ils de la pornographie ? Tout se résume à un mauvais entretien.
Des chercheurs en sécurité ont découvert que des sites web d’universités prestigieuses à travers le monde hébergeaient involontairement du contenu pornographique et d’autres contenus inappropriés. Ce problème découle d’une gestion négligente des noms de domaine et de sous-domaines abandonnés.
Le problème a été mis en évidence dans un rapport de Guardio Labs, une société de cybersécurité, qui a identifié des centaines de sous-domaines rattachés à des institutions académiques réputées qui avaient été détournés pour diffuser du matériel pornographique, des arnaques et d’autres contenus malveillants.
Parmi les universités concernées figurent Oxford, Cambridge, Stanford, Harvard et plusieurs autres institutions de premier plan. Les chercheurs ont trouvé plus de 400 sous-domaines compromis sur des sites universitaires.
Le cœur du problème réside dans ce que les experts en sécurité appellent les « domaines suspendus » ou « subdomain takeover ». Cela se produit lorsqu’une université crée un sous-domaine pour un projet spécifique, un événement ou un département, mais oublie ensuite de le maintenir correctement après la fin du projet.
Voici comment fonctionne l’exploitation : une université configure un sous-domaine pointant vers un service tiers comme Amazon Web Services, GitHub Pages ou d’autres plateformes d’hébergement. Une fois le projet terminé, l’université supprime le compte du service tiers mais oublie de supprimer l’enregistrement DNS qui pointe vers ce service.
Des acteurs malveillants analysent les enregistrements DNS à la recherche de ces liens brisés. Lorsqu’ils en trouvent un, ils créent simplement un nouveau compte sur le même service tiers et revendiquent le nom d’hôte abandonné. Puisque l’enregistrement DNS de l’université pointe toujours vers ce service, le sous-domaine commence maintenant à servir le contenu choisi par l’attaquant, tout en apparaissant comme s’il provenait du domaine légitime de l’université.
Cette technique est particulièrement efficace car le contenu malveillant bénéficie de la réputation et de l’autorité du domaine universitaire. Les moteurs de recherche et les filtres de sécurité font généralement confiance aux domaines universitaires, ce qui permet au contenu inapproprié de contourner les protections habituelles.
Les chercheurs de Guardio Labs ont constaté que les cybercriminels utilisaient ces sous-domaines détournés à diverses fins : héberger et distribuer de la pornographie, mener des escroqueries par phishing, distribuer des logiciels malveillants et créer de faux sites de commerce électronique pour voler des informations de carte de crédit.
L’impact va au-delà de la simple gêne. Ces sous-domaines compromis peuvent nuire à la réputation des universités, exposer les visiteurs à des contenus nuisibles et potentiellement créer des responsabilités juridiques pour les institutions.
Le problème n’est pas nouveau, mais son ampleur est surprenante. Les chercheurs en sécurité mettent en garde contre les vulnérabilités de prise de contrôle de sous-domaines depuis des années, mais de nombreuses organisations, y compris les grandes universités, n’ont pas mis en œuvre les pratiques d’hygiène de domaine appropriées.
La solution est relativement simple en théorie : les universités doivent auditer régulièrement leurs enregistrements DNS, supprimer les pointeurs vers les services abandonnés et mettre en œuvre des processus appropriés de gestion du cycle de vie des sous-domaines. En pratique cependant, les grandes institutions avec des milliers de sous-domaines trouvent souvent cette tâche difficile sans outils et processus appropriés.
Certaines universités ont commencé à répondre après avoir été informées du problème, supprimant les enregistrements DNS incriminés et reprenant le contrôle des sous-domaines compromis. Cependant, de nombreuses institutions restent vulnérables.
Ce incident sert de rappel que même les organisations les plus réputées peuvent tomber en proie à des problèmes de sécurité de base lorsque les pratiques d’hygiène numérique ne sont pas maintenues. Pour les universités, qui stockent des quantités importantes de données de recherche sensibles et d’informations personnelles, maintenir une posture de sécurité appropriée devrait être une priorité.
