Orange Espagne, le deuxième plus grand opérateur de téléphonie du pays, a subi une panne majeure d'Internet mercredi après qu'un pirate informatique s'est introduit dans son compte RIPE pour modifier la configuration du routage BGP et la configuration RPKI. Une analyse de l'incident a permis d'établir que le pirate a obtenu le mot de passe ridiculement faible de l'administrateur du compte RIPE d'Orange Espagne. Le mot de passe en question est "ripeadmin" (sans les guillemets). L'attaque a entraîné une panne d'Internet chez un nombre non divulgué de clients d'Orange Espagne et relance une nouvelle fois le débat sur l'importance d'avoir une bonne hygiène en matière de sécurité.Un mauvais mot de passe provoque un désastre chez Orange Espagne
Un pirate a semé le chaos chez Orange Espagne mercredi. L'attaque a été revendiquée par un individu opérant sous le pseudonyme de "Snow". Après son forfait, l'acteur de la menace a publié une série de captures d'écran expliquant comment il a pu mener l'attaque. Les chercheurs ont analysé les informations contenues dans les images et ont découvert que le pirate est parvenu à accéder au compte RIPE de l'opérateur de téléphonie après avoir récolté les informations d'identification de l'administrateur à l'aide d'un logiciel malveillant de vol d'informations (infostealer). Le logiciel malveillant avait infecté le compte d'un employé d'Orange Espagne.
[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr"><a href="https://twitter.com/orange_es?ref_src=twsrc%5Etfw">@orange_es</a> Meow meow meow! I have fixed your RIPE admin account security. Message me to get the new credentials :^) <a href="https://t.co/NKFFDWb0Ec">pic.twitter.com/NKFFDWb0Ec</a></p>— Snow 🏳️*⚧️ (@Ms_Snow_OwO) <a href="https://twitter.com/Ms_Snow_OwO/status/1742357282917109928?ref_src=twsrc%5Etfw">January 3, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]
Le mot de passe en question s'est avéré être "ripeadmin" (sans les guillemets), un mot de passe simple et facile à deviner pour un compte important. Les chercheurs de Hudson Rock ont qualifié le mot de passe de "ridiculement faible" avant de confirmer avec une "grande certitude" qu'il s'agissait de la méthode utilisée pour accéder au compte RIPE. « Cette attaque illustre une fois de plus la façon dont une seule infection d'infostealer peut être préjudiciable à toute entreprise », a déclaré la société dans un message. Hudson Rock aide les professionnels à lutter contre les voleurs d'informations grâce à des solutions de renseignement sur la cybercriminalité.
Kevin Beaumont, spécialiste en sciences de l'information, a également fait remarquer que le RIPE n'impose pas l'utilisation du 2FA (l'authentification à deux facteurs) ou du MFA (authentification multifacteur), et qu'il n'était pas activé chez Orange Espagne. Pour rappel, le centre de coordination du réseau RIPE est l'un des cinq registres Internet régionaux qui sont chargés de gérer et d'attribuer les adresses IP aux fournisseurs de services Internet, aux opérateurs télécoms et aux entreprises qui gèrent leur propre infrastructure de réseau. Le RIPE dessert 75 pays d'Europe, du Moyen-Orient et d'Asie centrale. Le RIPE ne serait pas exigeant sur la sécurité.
Contrairement au RIPE, Beaumont affirme que la base de données équivalente en Amérique du Nord, l'ARIN (American Registry for Internet Numbers), impose depuis février 2023 une authentification 2FA ou MFA. L'expert est allé plus loin en déclarant que le RIPE ne dispose d'aucune politique de sécurité", ce qui signifie que d'autres enquêtes pourraient révéler des mots de passe encore plus mauvais que celui qui a favorisé la brèche de sécurité chez Orange Espagne. « Il n'y a pas une politique de mot de passe sensée au RIPE. Vous pouvez utiliser "borisjohnson" comme mot de passe. En d'autres termes, c'est un baril de poudre », a déclaré Beaumont.
Le RIPE a déclaré qu'il travaillait sur les moyens de renforcer la sécurité du compte. Après le piratage, Hudson Rock a ajouté l'adresse électronique de l'administrateur d'Orange Espagne à une base de données qu'il gère pour repérer les informations d'identification mises en vente dans les bazars en ligne. Dans un billet, la société de cybersécurité a déclaré que le nom d'utilisateur et le mot de passe "ridiculement faible" ont été récupérés par un logiciel malveillant de vol d'informations installé sur un ordinateur d'Orange depuis le mois de septembre. Le mot de passe a ensuite été mis en vente sur une place de marché pour voleurs d'informations.
L'attaquant a perturbé la connectivité Internet des clients d'Orange Espagne
Après la violation du compte RIPE de l'entreprise, l'acteur de la menace semble avoir détourné le trafic BGP (Border Gateway Protocol) du fournisseur de réseau, ce qui a entraîné l'interruption de service pour les clients. Le pirate a modifié le numéro du système autonome (AS) associé à l'adresse IP d'Orange Espagne et a changé les autorisations d'origine des routes (Route Origin Authorizations - ROA), ce qui a entraîné la rupture du routage BGP du réseau de l'opérateur. Selon les experts, les ROA sont des objets signés cryptographiquement qui permettent de vérifier en toute sécurité que les routes BGP annoncées sont associées à l'origine correcte.
« Orange Espagne a vu ses /12 [enregistrements ROA] (et probablement d'autres) cassés par (ce qui semble être) quelqu'un qui s'est introduit dans son compte RIPE et qui a créé des RPKI ROA vers un autre endroit », explique Ben Cartwright-Cox, directeur de Port 179, l'entreprise à l'origine de l'outil de surveillance et d'analyse du réseau BGP.Tools. (Le pirate a modifié le réseau d'Orange Espagne à plusieurs reprises.) Lorsqu'un réseau malhonnête annonce des plages d'adresses IP habituellement associées à un autre numéro d'AS, il est possible de détourner ces plages d'adresses IP pour rediriger le trafic vers des sites Web ou des réseaux malveillants.
Selon les experts, ce phénomène constitue parfois une menace sérieuse pour la stabilité d'Internet et même potentiellement pour la sécurité nationale. Cloudflare note que cela est possible parce que le protocole BGP repose sur la confiance et que la table de routage est mise à jour en fonction de l'annonceur qui propose l'itinéraire le plus court et le plus spécifique. Pour empêcher cela, une nouvelle norme appelée RPKI (Resource Public Key Infrastructure) a été élaborée et constitue une solution cryptographique au détournement BGP. Mais ironiquement, le pirate a utilisé cette protection pour créer un déni de service pour les abonnés d'Orange Espagne.
Dans un compte rendu détaillé de l'événement, Doug Madory, un expert BGP de l'entreprise de sécurité et de réseau Kentik, affirme : « comme nous l'avons démontré dans notre analyse précédente, le déploiement des RPKI ROV sur Internet a atteint un point tel que la propagation d'une route est réduite de moitié ou plus lorsqu'elle est évaluée comme étant une configuration RPKI invalide. Il s'agit normalement d'un comportement souhaitable, mais lorsqu'une configuration RPKI est intentionnellement chargée avec des données mal configurées, elle peut rendre l'espace d'adressage inaccessible, devenant ainsi un outil de déni de service ».
Orange Espagne a confirmé via son compte X que son compte RIPE avait été violé, ajoutant que le service avait été rétabli peu de temps après l'annonce de la panne. Selon l'opérateur, rien n'indique que des données de clients aient été compromises au cours de l'incident, et l'interruption n'a concerné que ses services. « Le compte Orange dans le centre de coordination du réseau IP (RIPE) a subi un accès inapproprié qui a affecté la navigation de certains de nos clients. Le service est rétabli. Nous confirmons qu'en aucun cas les données de nos clients n'ont été compromises, cela a seulement affecté la navigation de certains services », a écrit l'opérateur.
Beaumont affirme avoir vu les identifiants de milliers de comptes RIPE différents sur les places de marché des voleurs d'informations et qu'il s'attendait à une vague d'attaques similaires maintenant que l'incident survenu chez Orange Espagne a été rendu public.
L'hygiène d'Orange Espagne en matière de sécurité est remise en cause
Outre le fait qu'il souligne la fragilité persistante du protocole BGP, l'incident met en évidence un manque préoccupant d'hygiène en matière de sécurité chez Orange. D'une part, un voleur d'informations installé sur l'ordinateur d'un employé n'a pas été détecté pendant quatre mois. D'autre part, l'utilisation d'un mot de passe faible et l'absence d'authentification multifactorielle pour protéger un compte sur un registre Internet régional tel que le RIPE. Selon les experts ayant enquêté sur la brèche de sécurité, il s'agit là d'autant d'omissions d'amateur qui n'auraient jamais dû être possibles dans une organisation de l'envergure d'Orange Espagne.
[tweet]<blockquote class="twitter-tweet"><p lang="es" dir="ltr">NOTA: La cuenta de Orange en el centro de coordinación de redes IP (RIPE) ha sufrido un acceso indebido que ha afectando a la navegación de algunos de nuestros clientes. El servicio está prácticamente restablecido</p>— Orange España (@orange_es) <a href="https://twitter.com/orange_es/status/1742616775647265035?ref_src=twsrc%5Etfw">January 3, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]
Autre fait troublant : Madory a déclaré que, jusqu'à mercredi, le compte RIPE d'Orange Espagne n'avait jamais été configuré pour suivre la création de nouveaux ROA, ce qui rendait les annonces d'itinéraires plus difficiles à suivre. « Si RPKI n'était pas sur le radar d'Orange España avant, il l'est maintenant. Espérons que cet incident servira de signal d'alarme aux autres fournisseurs de services et leur fera comprendre que leur compte de portail RIR est essentiel et doit être protégé par plus qu'un simple mot de passe », a-t-il écrit. Lorsqu'on a demandé à l'attaquant pourquoi il a piraté le compte, il a dit l'avoir fait pour le "lulz", c'est-à-dire pour rire.
Le RIPE a également mené une enquête sur l'incident, indiquant qu'il avait restauré le compte d'Orange et conseillé aux utilisateurs d'activer l'authentification MFA. « Nous encourageons les titulaires de comptes à mettre à jour leurs mots de passe et à activer l'authentification multifactorielle pour leur compte », a indiqué le RIPE. Mais selon les critiques, le RIPE devrait imposer l'authentification MFA au lieu de faire une simple recommandation, car certains administrateurs de compte RIPE pourraient ne pas la respecter.
Les logiciels malveillants de vol d'informations sont devenus le fléau des entreprises, car les pirates les utilisent pour collecter des informations d'identification en vue d'un accès initial aux réseaux d'entreprise. Les pirates achètent souvent des informations d'identification volées sur les marchés de la cybercriminalité, qu'ils utilisent ensuite pour pénétrer dans les réseaux afin d'effectuer des vols de données, du cyberespionnage et des attaques par ransomware.
Selon les experts, tous les comptes doivent être dotés d'une authentification à deux ou plusieurs facteurs, de sorte que même si un compte est volé, les attaquants ne puissent pas s'y connecter.
Sources : billets de blogue (1, 2, 3), Kentik, Cloudflare
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de la brèche de sécurité chez Orange Espagne ? Que pensez-vous de l'hygiène en matière de sécurité chez Espagne Orange ? Comment expliquez-vous le fait qu'un administrateur utilise un mot de passe aussi faible ?Voir aussi
Un simple appel téléphonique au service d'assistance serait à l'origine du piratage de l'exploitant de casinos MGM, mettant hors service les machines à sous et les cartes-clés des chambres d'hôtel Les gens se servent de ChatGPT et du clonage vocal pour torturer les télévendeurs, comment les consommateurs s'appuient sur l'IA comme d'une arme contre les appels téléphoniques abusifs L'adolescent qui a joué un rôle clé dans le piratage de GTA 6 est condamné à une peine d'hospitalisation pour une durée indéterminée, en raison de son obsession pour les cybercrimes