L'Armée électronique syrienne, ce groupe de pirates informatiques pro-Assad créé en 2011, au début de la guerre civile, est sortie de son sommeil le jour de Thanksgiving pour lancer une nouvelle attaque DNS, piratant probablement des centaines de sites de médias occidentaux, dont ceux du London Evening Standard, de The Independent, The Chicago Tribune, CNBC, The Daily Telegraph, Forbes et même de PC World et de la Ligue nationale américaine de hockey. Le nombre important de victimes, toutes clientes de la plateforme de gestion de médias Gigya (elle en compte 700) fait dire aux experts que l'attaque a perturbé les entrailles de l'Internet. Gigya est une start-up israélienne qui a développé une plate-forme de gestion de l'identité des clients. Surtout, le groupe SEA (Syrian Electronic Army) a trouvé un moyen de s'introduire au sein du gestionnaire de noms de domaine GoDaddy pour compromettre les enregistrements DNS de la plateforme Gigya utilisée par ces sites.
L'attaque n'a pas affecté tous les visiteurs, créant une certaine confusion. Mais ceux qui ont été touchés étaient redirigés vers une page web de la SEA où ils pouvaient lire le message suivant : « Vous avez été piratés par l'Armée électronique syrienne ». Dans certains cas, la sécurité du navigateur bloquait la redirection. Mais, si la connexion avait lieu depuis un appareil mobile, un écran pop-up affichait le même message. On ne sait pas encore combien de sites ont été affectés par l'attaque, probablement plusieurs centaines. Une liste établie à partir de rapports de Twitter répertoriait déjà une centaine de sites, jeudi en début d'après-midi.
En 2013, une attaque contre Melbourne IT
Certains sites d'information ont qualifié l'incident de piratage sur un Content Delivery Network (CDN), mais les modalités ressemblent un peu à celles d'une autre attaque menée par l'Armée électronique syrienne en août 2013. A l'époque, ces mêmes pirates avaient réussi à modifier les paramètres du DNS principal de sites comme Twitter ou du New York Times en passant par une entreprise de tierce partie, Melbourne IT. Dans le cas présent, l'Armée électronique syrienne a peut-être compromis les sites affiliés à Gigya sans pénétrer effectivement les systèmes de la startup israélienne. La SEA s'est même offert le luxe de présenter un formulaire de renouvellement du domaine Gigya.com émanant de GoDaddy afin de fournir des indices aux enquêteurs.
L'attaque contre Melbourne IT était comparativement plus sérieuse, la SEA ayant réussi à mettre la main sur des domaines entiers. Mais le dernier piratage est tout de même embarrassant. GoDaddy n'a pas encore fourni de détails sur l'attaque, pas plus que Gigya qui a simplement confirmé l'incident, celui-ci ayant été apparemment stoppé assez rapidement. L'entreprise de médias canadienne Globe and Mail a de son côté indiqué qu'elle avait désactivé la fonctionnalité Gigya sur son site par mesure de précaution. L'Armée électronique syrienne se manifeste de façon très irrégulière. Au cours de l'année passée, le groupe a mené quelques attaques mineures, mais cela faisait un certain temps que la SEA n'avait pas lancé d'offensive de cette envergure.