Orange Espagne, le deuxime plus grand oprateur de tlphonie du pays, a subi une panne majeure d'Internet mercredi aprs qu'un pirate informatique s'est introduit dans son compte RIPE pour modifier la configuration du routage BGP et la configuration RPKI. Une analyse de l'incident a permis d'tablir que le pirate a obtenu le mot de passe ridiculement faible de l'administrateur du compte RIPE d'Orange Espagne. Le mot de passe en question est "ripeadmin" (sans les guillemets). L'attaque a entran une panne d'Internet chez un nombre non divulgu de clients d'Orange Espagne et relance une nouvelle fois le dbat sur l'importance d'avoir une bonne hygine en matire de scurit.Un mauvais mot de passe provoque un dsastre chez Orange Espagne
Un pirate a sem le chaos chez Orange Espagne mercredi. L'attaque a t revendique par un individu oprant sous le pseudonyme de "Snow". Aprs son forfait, l'acteur de la menace a publi une srie de captures d'cran expliquant comment il a pu mener l'attaque. Les chercheurs ont analys les informations contenues dans les images et ont dcouvert que le pirate est parvenu accder au compte RIPE de l'oprateur de tlphonie aprs avoir rcolt les informations d'identification de l'administrateur l'aide d'un logiciel malveillant de vol d'informations (infostealer). Le logiciel malveillant avait infect le compte d'un employ d'Orange Espagne.
Le mot de passe en question s'est avr tre "ripeadmin" (sans les guillemets), un mot de passe simple et facile deviner pour un compte important. Les chercheurs de Hudson Rock ont qualifi le mot de passe de "ridiculement faible" avant de confirmer avec une "grande certitude" qu'il s'agissait de la mthode utilise pour accder au compte RIPE. Cette attaque illustre une fois de plus la faon dont une seule infection d'infostealer peut tre prjudiciable toute entreprise , a dclar la socit dans un message. Hudson Rock aide les professionnels lutter contre les voleurs d'informations grce des solutions de renseignement sur la cybercriminalit.@orange_es Meow meow meow! I have fixed your RIPE admin account security. Message me to get the new credentials :^) pic.twitter.com/NKFFDWb0Ec
— Snow ?️*⚧️ (@Ms_Snow_OwO) January 3, 2024
Kevin Beaumont, spcialiste en sciences de l'information, a galement fait remarquer que le RIPE n'impose pas l'utilisation du 2FA (l'authentification deux facteurs) ou du MFA (authentification multifacteur), et qu'il n'tait pas activ chez Orange Espagne. Pour rappel, le centre de coordination du rseau RIPE est l'un des cinq registres Internet rgionaux qui sont chargs de grer et d'attribuer les adresses IP aux fournisseurs de services Internet, aux oprateurs tlcoms et aux entreprises qui grent leur propre infrastructure de rseau. Le RIPE dessert 75 pays d'Europe, du Moyen-Orient et d'Asie centrale. Le RIPE ne serait pas exigeant sur la scurit.
Contrairement au RIPE, Beaumont affirme que la base de donnes quivalente en Amrique du Nord, l'ARIN (American Registry for Internet Numbers), impose depuis fvrier 2023 une authentification 2FA ou MFA. L'expert est all plus loin en dclarant que le RIPE ne dispose d'aucune politique de scurit", ce qui signifie que d'autres enqutes pourraient rvler des mots de passe encore plus mauvais que celui qui a favoris la brche de scurit chez Orange Espagne. Il n'y a pas une politique de mot de passe sense au RIPE. Vous pouvez utiliser "borisjohnson" comme mot de passe. En d'autres termes, c'est un baril de poudre , a dclar Beaumont.
Le RIPE a dclar qu'il travaillait sur les moyens de renforcer la scurit du compte. Aprs le piratage, Hudson Rock a ajout l'adresse lectronique de l'administrateur d'Orange Espagne une base de donnes qu'il gre pour reprer les informations d'identification mises en vente dans les bazars en ligne. Dans un billet, la socit de cyberscurit a dclar que le nom d'utilisateur et le mot de passe "ridiculement faible" ont t rcuprs par un logiciel malveillant de vol d'informations install sur un ordinateur d'Orange depuis le mois de septembre. Le mot de passe a ensuite t mis en vente sur une place de march pour voleurs d'informations.
L'attaquant a perturb la connectivit Internet des clients d'Orange Espagne
Aprs la violation du compte RIPE de l'entreprise, l'acteur de la menace semble avoir dtourn le trafic BGP (Border Gateway Protocol) du fournisseur de rseau, ce qui a entran l'interruption de service pour les clients. Le pirate a modifi le numro du systme autonome (AS) associ l'adresse IP d'Orange Espagne et a chang les autorisations d'origine des routes (Route Origin Authorizations - ROA), ce qui a entran la rupture du routage BGP du rseau de l'oprateur. Selon les experts, les ROA sont des objets signs cryptographiquement qui permettent de vrifier en toute scurit que les routes BGP annonces sont associes l'origine correcte.
Orange Espagne a vu ses /12 [enregistrements ROA] (et probablement d'autres) casss par (ce qui semble tre) quelqu'un qui s'est introduit dans son compte RIPE et qui a cr des RPKI ROA vers un autre endroit , explique Ben Cartwright-Cox, directeur de Port 179, l'entreprise l'origine de l'outil de surveillance et d'analyse du rseau BGP.Tools. (Le pirate a modifi le rseau d'Orange Espagne plusieurs reprises.) Lorsqu'un rseau malhonnte annonce des plages d'adresses IP habituellement associes un autre numro d'AS, il est possible de dtourner ces plages d'adresses IP pour rediriger le trafic vers des sites Web ou des rseaux malveillants.
Selon les experts, ce phnomne constitue parfois une menace srieuse pour la stabilit d'Internet et mme potentiellement pour la scurit nationale. Cloudflare note que cela est possible parce que le protocole BGP repose sur la confiance et que la table de routage est mise jour en fonction de l'annonceur qui propose l'itinraire le plus court et le plus spcifique. Pour empcher cela, une nouvelle norme appele RPKI (Resource Public Key Infrastructure) a t labore et constitue une solution cryptographique au dtournement BGP. Mais ironiquement, le pirate a utilis cette protection pour crer un dni de service pour les abonns d'Orange Espagne.
Dans un compte rendu dtaill de l'vnement, Doug Madory, un expert BGP de l'entreprise de scurit et de rseau Kentik, affirme : comme nous l'avons dmontr dans notre analyse prcdente, le dploiement des RPKI ROV sur Internet a atteint un point tel que la propagation d'une route est rduite de moiti ou plus lorsqu'elle est value comme tant une configuration RPKI invalide. Il s'agit normalement d'un comportement souhaitable, mais lorsqu'une configuration RPKI est intentionnellement charge avec des donnes mal configures, elle peut rendre l'espace d'adressage inaccessible, devenant ainsi un outil de dni de service .
Orange Espagne a confirm via son compte X que son compte RIPE avait t viol, ajoutant que le service avait t rtabli peu de temps aprs l'annonce de la panne. Selon l'oprateur, rien n'indique que des donnes de clients aient t compromises au cours de l'incident, et l'interruption n'a concern que ses services. Le compte Orange dans le centre de coordination du rseau IP (RIPE) a subi un accs inappropri qui a affect la navigation de certains de nos clients. Le service est rtabli. Nous confirmons qu'en aucun cas les donnes de nos clients n'ont t compromises, cela a seulement affect la navigation de certains services , a crit l'oprateur.
Beaumont affirme avoir vu les identifiants de milliers de comptes RIPE diffrents sur les places de march des voleurs d'informations et qu'il s'attendait une vague d'attaques similaires maintenant que l'incident survenu chez Orange Espagne a t rendu public.
L'hygine d'Orange Espagne en matire de scurit est remise en cause
Outre le fait qu'il souligne la fragilit persistante du protocole BGP, l'incident met en vidence un manque proccupant d'hygine en matire de scurit chez Orange. D'une part, un voleur d'informations install sur l'ordinateur d'un employ n'a pas t dtect pendant quatre mois. D'autre part, l'utilisation d'un mot de passe faible et l'absence d'authentification multifactorielle pour protger un compte sur un registre Internet rgional tel que le RIPE. Selon les experts ayant enqut sur la brche de scurit, il s'agit l d'autant d'omissions d'amateur qui n'auraient jamais d tre possibles dans une organisation de l'envergure d'Orange Espagne.
Autre fait troublant : Madory a dclar que, jusqu' mercredi, le compte RIPE d'Orange Espagne n'avait jamais t configur pour suivre la cration de nouveaux ROA, ce qui rendait les annonces d'itinraires plus difficiles suivre. Si RPKI n'tait pas sur le radar d'Orange Espaa avant, il l'est maintenant. Esprons que cet incident servira de signal d'alarme aux autres fournisseurs de services et leur fera comprendre que leur compte de portail RIR est essentiel et doit tre protg par plus qu'un simple mot de passe , a-t-il crit. Lorsqu'on a demand l'attaquant pourquoi il a pirat le compte, il a dit l'avoir fait pour le "lulz", c'est--dire pour rire.NOTA: La cuenta de Orange en el centro de coordinacin de redes IP (RIPE) ha sufrido un acceso indebido que ha afectando a la navegacin de algunos de nuestros clientes. El servicio est prcticamente restablecido
— Orange Espaa (@orange_es) January 3, 2024
Le RIPE a galement men une enqute sur l'incident, indiquant qu'il avait restaur le compte d'Orange et conseill aux utilisateurs d'activer l'authentification MFA. Nous encourageons les titulaires de comptes mettre jour leurs mots de passe et activer l'authentification multifactorielle pour leur compte , a indiqu le RIPE. Mais selon les critiques, le RIPE devrait imposer l'authentification MFA au lieu de faire une simple recommandation, car certains administrateurs de compte RIPE pourraient ne pas la respecter.
Les logiciels malveillants de vol d'informations sont devenus le flau des entreprises, car les pirates les utilisent pour collecter des informations d'identification en vue d'un accs initial aux rseaux d'entreprise. Les pirates achtent souvent des informations d'identification voles sur les marchs de la cybercriminalit, qu'ils utilisent ensuite pour pntrer dans les rseaux afin d'effectuer des vols de donnes, du cyberespionnage et des attaques par ransomware.
Selon les experts, tous les comptes doivent tre dots d'une authentification deux ou plusieurs facteurs, de sorte que mme si un compte est vol, les attaquants ne puissent pas s'y connecter.
Sources : billets de blogue (1, 2, 3), Kentik, Cloudflare
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la brche de scurit chez Orange Espagne ?
Que pensez-vous de l'hygine en matire de scurit chez Espagne Orange ?
Comment expliquez-vous le fait qu'un administrateur utilise un mot de passe aussi faible ?
Voir aussi
