Des universités prestigieuses victimes de piratage : leurs sites diffusent du porno et des arnaques

Des sites universitaires prestigieux détournés pour diffuser du porno et des arnaques

Des sous-domaines de sites officiels d’universités parmi les plus renommées au monde diffusent désormais du contenu pornographique explicite et des sites malveillants. Cette situation résulte de l’exploitation par des escrocs de négligences dans la gestion des enregistrements DNS par les administrateurs des établissements concernés.

Parmi les universités touchées figurent l’Université de Californie à Berkeley (berkeley.edu), Columbia University (columbia.edu) et Washington University in St. Louis (washu.edu).

Des sous-domaines détournés pour propager des contenus malveillants

Des exemples de sous-domaines piratés incluent :

• causal.stat.berkeley.edu/ymy/video/xxx-porn-girl-and-boy-ej5210.html (pornographie explicite)
• conversion-dev.svc.cul.columbia[.]edu/brazzers-gym-porn (contenu pornographique)
• provost.washu.edu/app/uploads/formidable/6/dmkcsex-10.pdf (fichier malveillant)

Dans certains cas, les visiteurs sont redirigés vers des sites frauduleux prétendant que leur ordinateur est infecté et leur demandant de payer pour supprimer un malware inexistant.

Des centaines de sous-domaines compromis dans 34 universités

Selon le chercheur Alex Shakhov, spécialisé en cybersécurité, des centaines de sous-domaines appartenant à au moins 34 universités ont été détournés. Les résultats de recherche Google révèlent des milliers de pages piratées, mettant en lumière l’ampleur du problème.

Comment les escrocs exploitent-ils cette faille ?

Shakhov, chercheur chez SH Consulting, explique que les pirates profitent d’erreurs administratives dans la gestion des sous-domaines. Lorsqu’une université crée un sous-domaine comme provost.washu.edu, elle associe une URL à une adresse IP via un enregistrement CNAME. Cependant, lorsque ce sous-domaine est désactivé ou supprimé, l’enregistrement DNS n’est pas toujours supprimé.

Les escrocs, souvent liés à un groupe connu sous le nom de Hazy Hawk, repèrent ces enregistrements obsolètes et enregistrent le nom de domaine expiré. Ils redirigent ensuite le trafic vers des sites malveillants, exploitant la réputation des universités pour tromper les visiteurs.

« Les universités, en raison de leur taille et de leur complexité administrative, sont particulièrement vulnérables à ce type d’attaques. Les erreurs de gestion des DNS sont fréquentes et difficiles à détecter rapidement. »

Des risques accrus pour les étudiants et le personnel

Les conséquences de ces détournements sont multiples :

• Exposition à des contenus inappropriés ou malveillants pour les utilisateurs des sites universitaires.
• Risque de phishing et d’arnaques financières pour les visiteurs redirigés vers des sites frauduleux.
• Atteinte à la réputation des établissements concernés, dont la crédibilité est mise en cause.

Comment se protéger et limiter les risques ?

Pour éviter de telles situations, les universités doivent adopter des mesures strictes :

• Audit régulier des enregistrements DNS : vérifier systématiquement que tous les sous-domaines actifs sont bien documentés et que les enregistrements obsolètes sont supprimés.
• Surveillance proactive des redirections : utiliser des outils de détection pour identifier les comportements suspects ou les contenus malveillants.
• Formation des administrateurs : sensibiliser les équipes techniques aux bonnes pratiques en matière de gestion des DNS et de cybersécurité.
• Collaboration avec les moteurs de recherche : signaler rapidement les pages piratées pour qu’elles soient retirées des résultats de recherche.

Les utilisateurs, quant à eux, doivent rester vigilants et éviter de cliquer sur des liens suspects, même s’ils proviennent de sites universitaires apparemment fiables.