Auteur Sujet: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022  (Lu 37197 fois)

0 Membres et 1 Invité sur ce sujet

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 6 070
Le délai semble être trop rapide pour avoir lancé une production, surtout en ce moment, mais le fait que l'adaptateur secteur ne soit pas inclus me fait penser qu'il ne s'agissait pas d'un stock prêt à l'envoi chez Viasat pour autant.
Peut-être qu'ils ont pris dans le stock destiné à d'autres pays, avec des adaptateurs avec une prise non européenne, et remballé sans l'adaptateur et avec des notices en français.
Ce serait intéressant de regarder les dates sur l'appareil et l'emballage.

Le mail générique n'indique pas si le nouveau modem t'est donné (en remplacement de celui qui t'appartient et qu'ils ont indirectement briqué), ou une mise à disposition dans le cadre de l'abonnement.
Dans le second cas, j'anticipe des problèmes en cas de résiliation, sachant que l'adaptateur secteur t'appartient dans tous les cas.
Il est tout à fait possible qu'il y ait une procédure en atelier pour mettre à jour les modems au fur et à mesure des retours.
Genre des "points de tests" sur la carte électronique, qui serviraient à la reprogrammation du firmware, même briqué, par une méthode sécurisée.
Du coup, avec un "petit" stock, ils pourraient mettre à jour tous les modems au fur et à mesure des retours.
Ca n'est qu'une hypothèse.

Leon.

Nico

  • Modérateur
  • *
  • Messages: 44 549
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
Je n'ai pas l'impression que le mail reçu par obinou indique un retour à réaliser.

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 678
  • Montgesty (46150)
    • Tetaneutral.net
Je n'ai pas l'impression que le mail reçu par obinou indique un retour à réaliser.

Peut-être parce que c'est le mien. Ils se peux qu'ils aient un mail différent pour les abonnés locataires de leur matériel.

Après je pense que pour le moment c'est pas leur priorité, et j'apprécie le sens des priorités. Les détails administratifs sur les retours, les alims, .... on verra le temps venu.

xp25

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 6 101
Comme dit par Obiniou, il ne l'a pas démonté pensant que Nordnet veuille le récupérer.

Nordnet commence par ceux qui sont proprio de leur modem, c'est bien normal vu qu'ils en sont pour leur frais.

Nordnet peut glisser un bon retour avec le nouveau modem pour récupérer l'ancien, c'est peut-être pas précisé dans le mail pour ne pas faire un pavé.

Et effectivement Leon a sans doute deviné la procédure qui suit le retour de ces modem chez Nordnet : Test, reflash et échange avec ceux qui loue.

Wait & see ;)

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 576
  • Delta S 10G-EPON sur Les Ulis (91)
L’argument "ils n'ont pas évoqué le retour pour ne pas faire un pavé" me laisse sceptique. S'ils ont prévu de remplacer les modems par ceux récupérés et reflashés, c'était au contraire une priorité de l'indiquer.

xp25

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 6 101
C'est bien précisé de garder l'alimentation.

Alors pourquoi ne pas avoir précisé de jeter le modem brické en déchetterie ?

Je pense que Nordnet a souhaité faire un mail de remise en service de l'accès en tout premier lieu.

La suite étant accessoire pour le client qui reçoit le nouveau modem, il n'est plus vraiment concerné par la suite de l'histoire.

Trop d'informations en une fois (surtout dans un mail) tue l'information première qu'on voulait faire passer.

Un papelard explicatif dans le colis initiera éventuellement le retour du modem brické ou pas, c'est peut-être pour ça que rien n'est dit tout de suite, Nordnet se laisse une marge de manœuvre.

Obiniou va nous dire ça mardi/mercredi prochain ;)


vivien

  • Administrateur
  • *
  • Messages: 47 660
    • Twitter LaFibre.info
Extrait de la seconde partie de l'article, la plus intéressante, traduit en Français :

Le responsable de Viasat a déclaré qu'une mauvaise configuration dans la "section de gestion" du réseau satellite avait permis aux pirates d'accéder à distance aux modems, les mettant hors ligne. Il a déclaré que la plupart des appareils concernés devraient être reprogrammés soit par un technicien sur place, soit dans un dépôt de réparation et que certains devraient être remplacés.

Le responsable de Viasat n'a pas été explicite sur ce à quoi la "section de gestion" du réseau faisait référence et a refusé de fournir plus de détails. KA-SAT et ses stations au sol associées, que Viasat a achetées l'an dernier à la société européenne Eutelsat, sont toujours exploitées par une filiale d'Eutelsat.

Eutelsat a renvoyé les questions à Viasat.

Viasat a engagé la société américaine de cybersécurité Mandiant, spécialisée dans le suivi des pirates informatiques parrainés par l'État, pour enquêter sur l'intrusion, selon deux personnes proches du dossier.

Les porte-parole de la NSA, de l'ANSSI et de Mandiant ont refusé de commenter.

Viasat a déclaré que les clients gouvernementaux qui achetaient des services directement auprès de l'entreprise n'étaient pas affectés par la perturbation. Le réseau KA-SAT est cependant exploité par un tiers, qui à son tour sous-traite le service par l'intermédiaire de divers distributeurs.

Au cours des dernières années, les services militaires et de sécurité ukrainiens ont acheté plusieurs systèmes de communication différents qui fonctionnent sur le réseau de Viasat, selon des contrats publiés sur ProZorro, une plateforme de transparence ukrainienne.

Un message sollicitant des commentaires de l'armée ukrainienne n'a pas été immédiatement renvoyé.

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 6 070
Donc pour la partie technique, je comprends
 * les pirates se sont "infiltrés" dans un réseau terrestre privé et sécurisé qui permet l'administration à distance des modems.
 * les pirates ont réussi à pousser une mise à jour (ou configuration) qui "brique" les modems. Sans possibilité de retour à la "config usine" par une manip utilisateur simple. Donc là aussi il ont du exploiter des failles.
 * Une partie des modems seront bel et bien "dé-briqués" via une mis à jour en atelier ou par technicien sur site

C'est le point n°1 qui m'inquiète le plus dans les systèmes modernes. Il y a 20 ans, un réseau d'administration sensible aurait été 100% isolé du reste du monde, donc inattaquable. Mais aujourd'hui, avec la volonté d'administrer tout depuis des VPN divers et variés, accessible depuis Internet, ça rend ces réseaux privés/sensibles plus vulnérables.

Leon.

vivien

  • Administrateur
  • *
  • Messages: 47 660
    • Twitter LaFibre.info
Il serait intéressant de savoir si il y a un nouveau firmware qui a été poussé vers les box ou si le firmware a simplement été effacé (avec exemple en écrivant 0000000000 sur tout la mémoire flash).

Le modem accepte-t’il un firmware non signé ? (histoire de lister toutes les erreurs qui ont pu rendre cette exploit possible)

PeGGaaSuSS

  • Abonné Free fibre
  • *
  • Messages: 521
  • Saint-Ouen (93) - Paris (75)

obinou

  • AS197422 Tetaneutral.net
  • Expert
  • *
  • Messages: 1 678
  • Montgesty (46150)
    • Tetaneutral.net
* les pirates se sont "infiltrés" dans un réseau terrestre privé et sécurisé qui permet l'administration à distance des modems.

Je pense que les symptômes et la nature de l'attaque a permis de démontrer cette infiltration.

Aujourd'hui par contre on ne connais pas le mode opératoire d'infiltration. Un insider ? Un VPN compromis avec un malware dormant planté dans le réseau depuis des années ? Une bonne vieille attaque par mail ? Un équipement vérolé dès la livraison (Les russes sont pas mauvais en sat, est-ce qu'un équipement livré depuis des années contenais une porte dérobé ) ?

Et le timing aussi : Est-ce que le réseau était infiltré depuis des années "par opportunité"  et que cette opportunité a été utilisée à l'occasion du conflit ? Est-ce que Viasat été ciblé particulièrement en prévision de cette action militaire , et si oui est-ce que c'est fait par les services russes explicitement, ou par un groupe pro-russe indépendant ?

Bcp de questions en suspend.

Il serait intéressant de savoir si il y a un nouveau firmware qui a été poussé vers les box ou si le firmware a simplement été effacé (avec exemple en écrivant 0000000000 sur tout la mémoire flash).
Le modem accepte-t’il un firmware non signé ? (histoire de lister toutes les erreurs qui ont pu rendre cette exploit possible)

J'ai reçu un nouveau modem, je peux ptet essayer de relire la flash interne de celui qui est briqué.