Auteur Sujet: Compte RIPE Orange Espagne volé et pouf (Lu 974 fois)

LuisBaker · « **le:** 03 janvier 2024 à 17:26:50 »

Le compte du RIPE d'Orange Espagne a été piraté apparemment selon ce post sur Twitter.

https://twitter.com/Ms_Snow_OwO/status/1742357282917109928

LuisBaker · « **Réponse #1 le:** 03 janvier 2024 à 18:37:36 »

https://twitter.com/bgptools/status/1742596811196436940

jeannot · « **Réponse #2 le:** 05 janvier 2024 à 08:40:13 »

En résumé, Orange ES s'est fait voler son compte RIPE qui pour l'anecdote avait un mot de passe simpliste (ripeadmin).
"Une personne" a trifouillé progressivement les entrées ROA qui a rendu ses annonces BGP invalides à cause de RPKI.

L'impact sur le traffic vers l'AS a été assez visible, mais aurait aussi pu être pire.

Article source : https://arstechnica.com/security/2024/01/a-ridiculously-weak-password-causes-disaster-for-spains-no-2-mobile-carrier/
Analyse : https://www.kentik.com/blog/digging-into-the-orange-espana-hack/

Leon · « **Réponse #3 le:** 05 janvier 2024 à 08:57:37 »

Citation de: jeannot le 05 janvier 2024 à 08:40:13

En résumé, Orange ES s'est fait voler son compte RIPE qui pour l'anecdote avait un mot de passe simpliste (ripeadmin).

Du coup, il faut comprendre que le RIPE n'impose pas des comptes "sécurisés" pour manipuler des données aussi sensibles?
- mot de passe costaud
- authentification multi facteur

Si c'est le cas, c'est très surprenant.

Leon.

thinklad · « **Réponse #4 le:** 05 janvier 2024 à 09:06:25 »

2FA supporté mais pas requis à l'heure actuelle : https://cyberplace.social/@GossiTheDog/111699307790596426
RIPE a commenté qu'ils allaient accélérer l'obligation de 2FA.

jeannot · « **Réponse #5 le:** 05 janvier 2024 à 10:01:44 »

le 2FA pour des comptes d'équipe, ça revient toujours au final à avoir un mot de passe quelque part, bien ça soit moins direct. Si la machine compromise y avait accès à un moment (genre un keepass avec une entrée otp), c'est récupérable de l'attaquant.

Hugues · « **Réponse #6 le:** 05 janvier 2024 à 10:11:03 »

Détourner un système de sécurité pour en faire une attaque c'est quand même assez drole...

Leon · « **Réponse #7 le:** 05 janvier 2024 à 10:30:27 »

Citation de: jeannot le 05 janvier 2024 à 10:01:44

le 2FA pour des comptes d'équipe, ça revient toujours au final à avoir un mot de passe quelque part, bien ça soit moins direct. Si la machine compromise y avait accès à un moment (genre un keepass avec une entrée otp), c'est récupérable de l'attaquant.

J'ai pas compris. Qui utiliserait du 2FA pour des comptes d'équipe, dans le cas présent? Ca existe?

Citation de: Hugues le 05 janvier 2024 à 10:11:03

Détourner un système de sécurité pour en faire une attaque c'est quand même assez drole...

De quel système de sécurité tu parles? De la base de donnée du RIPE qui sert à "authentifier" les annonces BGP légitimes?

Leon.

Hugues · « **Réponse #8 le:** 05 janvier 2024 à 10:33:53 »

Le RPKI sert à bloquer les annonces illégitimes

Quelqu'un a supprimé les annonces légitimes et créé des annonces illégitimes, ce qui a bloqué les annonces légitimes

jeannot · « **Réponse #9 le:** 05 janvier 2024 à 10:35:40 »

Citation de: Leon le 05 janvier 2024 à 10:30:27

J'ai pas compris. Qui utiliserait du 2FA pour des comptes d'équipe, dans le cas présent? Ca existe?

les comptes génériques type support@operateur.bigoudi. que ce soit pour ne pas dépendre d'une personne et de son adresse mail, pour des histoires de facturation au compte ou limiter le nombre de comptes à gérer.
j'ai un exemple avec salesforce

et oui, RPKI

thinklad · « **Réponse #10 le:** 05 janvier 2024 à 11:08:42 »

Citation de: jeannot le 05 janvier 2024 à 10:01:44

le 2FA pour des comptes d'équipe, ça revient toujours au final à avoir un mot de passe quelque part, bien ça soit moins direct. Si la machine compromise y avait accès à un moment (genre un keepass avec une entrée otp), c'est récupérable de l'attaquant.

Pas forcément, ça dépend de l'implémentation. Avec clés de sécurité (telles que FIDO2, utilisables sur le site de l'ARIN) il est possible de déclarer plusieurs clés et d'éviter le partage du secret 2FA.
Dans ce cas avec Orange cependant, un TOTP sur un KeePass d'équipe aurait probablement quand même aidé, étant donné la simplicité du mot de passe. Ça permet quand même d'éviter les attaques de types dictionnaire ou password spraying.

alain_p · « **Réponse #11 le:** 05 janvier 2024 à 11:12:36 »

Là, c'est a priori un infostealer qui a volé le mot de passe, sur le PC d'un employé. Donc qu'il soit complexe ou pas ne change rien.

Voir l'article de Kevin Beaumont sur le site doublepulsar :
https://doublepulsar.com/how-50-of-telco-orange-spains-traffic-got-hijacked-a-weak-password-d7cde085b0c5