Entre hier midi et ce matin, un utilisateur a tenté de pirater ce blog depuis une adresse IP appartenant à Microsoft et géolocalisée à Des Moines, dans l’Iowa.
Ce blog est protégé par Wordfence, un plugin WordPress très pratique qui fait office de pare-feu. A la troisième tentative de récupération de mot de passe depuis cette même adresse IP, Wordfence a bloqué l’adresse IP et m’a prévenu par un mail courtois et néanmoins professionnel.
Une rapide vérification sur un service whois (https://who.is/whois-ip/ip-address/52.173.136.59) m’a confirmé que l’adresse IP appartenait bien à Microsoft Azure, la plateforme cloud de Microsoft. Evidemment, ce n’est pas un employé de Microsoft qui s’amuse à me pirater pour profiter de mon lectorat considérable (tant par le nombre que par la qualité). C’est un client qui loue cette adresse IP pour en faire on ne sait quoi ; je ne me suis pas fendu d’un nmap (je n’ai pas le temps ce matin), toujours est-il qu’il n’y a pas de service web à cette adresse. Alors est-ce le client, ou est-il lui-même victime d’un hacker qui se sert de son adresse pour jouer de vilains tours ? Peu importe.
Puisque Microsoft fournit une adresse mail pour signaler les abus, j’ai fait parler l’oiseau tonnerre (Thunderbird) en ces termes :
Hi,
The WordFence plugin, on my WordPress blog sent me a lock-out notification following a password recovery attempt from an IP of yours (well, an IP provided by Microsoft Azure to one of its clients).
A user with IP address 52.173.136.59 has been locked out from signing in or using the password recovery form for the following reason: Exceeded the maximum number of login failures which is: 3. The last username they tried to sign in with was: '***' (my actual login name….)
The duration of the lockout is 1 month.
User IP: 52.173.136.59
User hostname: 52.173.136.59
User location: Des Moines, Iowa, United StatesThe attempts took place :
2022-02-04 12:58:46 (CET)
2022-02-04 19:31:59 (CET)
2022-02-05 2:13:58 (CET) -> the IP was blocked
2022-02-06 9:03:27 (CET) -> stubborn bot…
From a leading industry player like Microsoft, one would expect an attitude beyond reproach from both the corporation and its agents, and a strict control of its users and their evil demeanours ; after all, this is not free software, is it ?
But I'm being unfair, I know it is difficult to differentiate legitimate from suspicious IP traffic. Now, you know traffic from that IP is dubious.
So please, make sure this doesn't happen again : find the offender and punish him fairly.
Regards,
Emmanuel Mie
Voilà, je poursuis ma journée avec le sentiment du devoir accompli (ô plaisir coupable de la délation) et de l’imminence de la vengeance par procuration.
Schadenfreude quand tu nous tiens…
Edit du 7/2/2022
J’ai reçu une réponse ! En moins de 24h ! Dans un souci permanent de justice, je dois reconnaître le professionnalisme de Microsoft, et de Renzy en l’occurrence.
Hi,
Based on the information you have provided, this may have originated from an account hosted on Microsoft Azure.
We forwarded your complaint to the CERT team for review and action.
Should you encounter additional reports from the same IP, send them directly to Cert@Microsoft.com.
Additional information about Azure related issues can be found at this link https://portal.msrc.microsoft.com/en-us/engage/cars.
Kindly,
Renzy
Microsoft Online Safety
Bon, maintenant, il ne me reste plus qu’à attendre les photos de la capture et des séances de torture de mon pirate d’eau douce…