La Fibre

Satellite et faisceau hertzien => Satellite et faisceau hertzien => Nordnet Nordnet => Discussion démarrée par: obinou le 24 février 2022 à 12:47:38

Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 24 février 2022 à 12:47:38
Bonjour,

Pour info, le Ka-sat est down depuis ce matin.
J'ai recu un mail de Nordnet:

Bonjour, La société en charge du Satellite KA SAT nous a signalé un incident avec perte de service Internet par satellite. Les équipes sont mobilisées pour le rétablissement de vos services. Nous n'avons pas de délai de rétablissement. Nous sommes désolés pour la gêne occasionnée.
Votre Service Clients

https://assistance.nordnet.com/service/etat
(https://lafibre.info/images/sat/202202_nordnet_attaque_russie_ka-sat.png)

Je pensais naivement au début que c'était un problème de sat.... mais en regardant mon installation, j'ai vu un truc bizarre : TOUTE les leds de mon modem (surfbeam2) sont éteinte, et il n'y avait pas de link sur l’Ethernet. Bien sur pas d'accès à la GUI 192.168.100.1 , qui permet de monitorer le signal radio.

Débranchement / rebranchement, pareil , plus aucune réaction de mon modem , et surtout, même plus la led "POWER" qui s'allume normalement dès le démarrage, et ensuite les leds qui clignotent durant le boot.

=> Je penche pour le poussage d'une maj foiré qui a briqué les modem....  ;D

Quelqu'un à d'autres infos ?
Titre: Ka-sat down
Posté par: alain_p le 24 février 2022 à 14:05:45
Briquage des modems, c'est le pire scénario pour un opérateur, s'il doit faire intervenir un technicien chez chaque abonné pour la reprogrammer, ou pire encore devoir changer toutes les box (il n'a sûrement pas le stock pour...).
Titre: Ka-sat down
Posté par: pioup le 24 février 2022 à 14:35:53
Il n'y a pas une procédure de reset pour faire repartir le modem sur un firmware de secours ?
Titre: Ka-sat down
Posté par: PhilippeMarques le 24 février 2022 à 17:45:07
Concours de circonstances ? Ton Modem est mort ?
Titre: Ka-sat down
Posté par: obinou le 24 février 2022 à 17:53:53
Ben je sais pas mais là il est complètement mort...

C'est un surfbeam2 , 1ère génération : https://i.ebayimg.com/images/g/6z0AAOSwHflfpvyN/s-l400.jpg

J'ai jamais vu un truc aussi fermé : Pas de SSH, pas de console série, pas d'info sur le net, pas de bouton, rien du tout.
Juste des pages d'info sur le lien (que je scrape pour grapher un peu les signaux)
Ya pas de bouton , rien.

Pour moi il est briqué.
Et vu qu'il est sur onduleur, le problème viens pas de chez moi (le reste du matériel sur le même onduleur, cad la box nordnet, un switch microtik, une livebox, et 2/3 autres trucs n'ont pas bougé, n'ont même pas rebooté.

Briquage des modems, c'est le pire scénario pour un opérateur, s'il doit faire intervenir un technicien chez chaque abonné pour la reprogrammer, ou pire encore devoir changer toutes les box (il n'a sûrement pas le stock pour...).

Je pense qu'ils ont bon pour en renvoyer un, celui-là ou la version suivante.
Ce qui est chiant pour eux, vu que ce matériel est à moi , je l'ai acheté (500€ avec la parabole + le tria) en 2012 lors de ma 1ère souscription....
Titre: Ka-sat down
Posté par: PhilippeMarques le 24 février 2022 à 18:33:27
Je pense qu'ils ont bon pour en renvoyer un, celui-là ou la version suivante.
Ce qui est chiant pour eux, vu que ce matériel est à moi , je l'ai acheté (500€ avec la parabole + le tria) en 2012 lors de ma 1ère souscription....
Ce qui est surtout chiant pour toi, parce que si tu l'as acheté et t'appartiens, le renouveler risque d'être à ta charge.
A moins de pouvoir démontrer que c'est de leur faute, et là pour pouvoir démontrer quoi que ce soit, t'es plutôt mal.
Tu vas devoir plutôt jouer sur l'aspect commercial pour te le faire remplacer.

C'est rare quand même de briquer avec une MAJ, les essais sont fait sur un parc interne de décodeurs représentatif des décodeurs sur le marché. Il y a plusieurs type de décodeurs, certains même avec un "cheat code" pour avoir du debug ( si tu a été élu à cette catégorie d'utilisateurs).
Un passage en Prod qui brique les décodeurs, je ne dis pas que cela ne peux pas arriver, mais tout est fait pour que cela n'arrive pas, si c'est le cas, tu n'es pas le seul, l'info leur est remonté, et ils devraient prendre en charge le problème.
Je suppose que tu leur a déjà fait parvenir l'info.
Titre: Ka-sat down
Posté par: obinou le 24 février 2022 à 18:54:01
Ben déjà c'est sur leur site.

J'ai recu un mail , et 3 SMS à 9h41, 10h43 et  le dernier à 16h32 disant que "l'incident était toujours en cours".
Donc nul besoin de les contacter je pense qu'ils le savent, et que je suis loin, même très loin d'être le seul.
J'ai bossé (même si c'est plus le cas) chez des FAI, je sais ce que c'est que la loi de murphy, alors je ne vais pas aller les harceler.... :-)

Je leur souhaite plutôt bon courage, à Nordnet (qui peux pas faire grand chose) mais surtout aux gens de viasat / eutelsat qui ont dû passer une journée de m*rde.
Moi j'ai une ADSL 2mbps , de la 4G en secours et un réseau qui a basculé tout seul je suis pas le plus à plaindre.

Ce qui est surtout chiant pour toi, parce que si tu l'as acheté et t'appartiens, le renouveler risque d'être à ta charge.

J'espère bien que non si c'est eux qui l'ont briqué...

Citer
A moins de pouvoir démontrer que c'est de leur faute, et là pour pouvoir démontrer quoi que ce soit, t'es plutôt mal.

Je pense que j'aurais pas trop de mal à ça.

Citer
C'est rare quand même de briquer avec une MAJ, les essais sont fait sur un parc interne de décodeurs représentatif des décodeurs sur le marché. Il y a plusieurs type de décodeurs, certains même avec un "cheat code" pour avoir du debug ( si tu a été élu à cette catégorie d'utilisateurs).
Un passage en Prod qui brique les décodeurs, je ne dis pas que cela ne peux pas arriver, mais tout est fait pour que cela n'arrive pas, si c'est le cas, tu n'es pas le seul, l'info leur est remonté, et ils devraient prendre en charge le problème.

Je suis d'accord avec toi, mais n'oublie pas que c'est du vieux matériel (2010/2011), en maintenance applicative depuis longtemps, pas le genre de projets qu'on confie aux experts et pour lequel on maintient une batterie de tests importants , surtout que le nombre d'abonnés particuliers à ce "vieux" sat chute d'année en année (chez nordnet il a été remplacé par un autre plus récent, K-CONNECT je crois , et quand on s'abonne on peut même plus prendre le Ka-sat - moi j'ai pu car j'avais déjà mon matériel).

Titre: Ka-sat down
Posté par: alain_p le 24 février 2022 à 19:53:14
(chez nordnet il a été remplacé par un autre plus récent, K-CONNECT je crois , et quand on s'abonne on peut même plus prendre le Ka-sat - moi j'ai pu car j'avais déjà mon matériel).

Et bien, je crois que tu risques de passer sur le nouveau satellite...
Titre: Ka-sat down
Posté par: thedark le 01 mars 2022 à 09:30:31
Selon lefigaro, c'est à cause des russes ,c'est un hack.
https://www.lefigaro.fr/secteur/high-tech/les-telecoms-victimes-de-cyberattaques-russes-20220228
Titre: Ka-sat down
Posté par: obinou le 01 mars 2022 à 09:40:29
Intéressant - j'ai pas d'abonnement au figaro pour lire tout mais bon.

J'attendrais néanmois des preuves d'une implication russe "officielle".
C'est pas comme si les ukrainiens utilisaient en majorité le ka-sat pour internet... même là-bas ça a du toucher très peu de monde - après c'était peut-être aussi une cible "facile" techniquement.

Par contre l'un des "avantages" de cette thèse est que si c'est reconnu comme "acte de guerre" , ben Eutelsat / Viasat n'aura pas à subir les conséquences financières du remplacement du matériel, vu que cette situation fait partie des exclusions contractuelles pour cas de force majeure....


Pour moi ça prouve surtout la vulnérabilité infra de l'infra de viasat.... (D'ici que leur plateforme ait été codée en java avec du log4j...)


edit:
https://zimonews.com/la-societe-de-satellites-viasat-enquete-sur-une-cyberattaque-presumee-en-ukraine-et-ailleurs-par-reuters/
https://www.zdnet.fr/actualites/les-services-de-l-operateur-satellitaire-viasat-en-ukraine-freines-par-une-cyberattaque-39938127.htm
https://actuprodsolaire.fr/2022/03/01/russie-cyberattaques/
(Ce dernier article semble confirmer un "briquage" de modems : "Les dégâts sont tels qu’il est pour le moment impossible de redémarrer les modems impactés à distance, ils demeurent injoignables. Il n’est même pas possible de les remettre à zéro ou de revenir aux réglages d’usine. Leur remplacement pur et simple n’est pas non plus envisageable, faute de disposer de suffisamment d’appareils en réserve" )

Mais bon on le savait : Permettre une maj à distance c'est _aussi_ prendre le risque d'un briquage...
Titre: Ka-sat down
Posté par: vivien le 01 mars 2022 à 09:49:06
Cela montre des failles importantes lors de la conception si il est possible de pousser un firmware qui tue les modems aussi facilement.

Je suis curieux de voir si la situation actuelle va avoir un impact négatif sur Nginx, d'origine Russe pour Apache2.
Titre: Ka-sat down
Posté par: Nico le 01 mars 2022 à 09:57:51
https://www.reuters.com/business/energy/satellite-outage-knocks-out-control-enercon-wind-turbines-2022-02-28/

- Remote control of 5,800 wind turbines knocked out
- Enercon says disruption coincided with Russian invasion
- Says working with providers to resolve problem
- German watchdog BSI says aware of the indicent

J'ai l'impression que c'est rattaché à l'offensive russe de par le timing principalement qui coïncide. A voir ce que les investigations futures donneront.
Titre: Ka-sat down
Posté par: obinou le 01 mars 2022 à 10:00:06
Cela montre des failles importantes lors de la conception si il est possible de pousser un firmware qui tue les modems aussi facilement.

Je suis curieux de voir si la situation actuelle va avoir un impact négatif sur Nginx, d'origine Russe pour Apache2.

A voir mais le code de nginx est sur github, contrairement aux firmwares des modems viasat.
On parle énormément actuellement dans l'IOT d'update Over-The-Air, avec tout un système de clé privé/publique, y compris dans les bagnoles actuellement, puisque je plonge un peu dans ce domaine actuellement - cet épisode montre les conséquences d'un tel système mal conçu et/ou mal sécurisé.
Titre: Ka-sat down
Posté par: obinou le 01 mars 2022 à 10:06:02
https://www.reuters.com/business/energy/satellite-outage-knocks-out-control-enercon-wind-turbines-2022-02-28/

- Remote control of 5,800 wind turbines knocked out
- Enercon says disruption coincided with Russian invasion
- Says working with providers to resolve problem
- German watchdog BSI says aware of the indicent

J'ai l'impression que c'est rattaché à l'offensive russe de par le timing principalement qui coïncide. A voir ce que les investigations futures donneront.

Oui moi je serais prudent sur la question.
J'ai jamais eu une bonne opinion de Viasat en terme technique (tj pas d'IPv6 après 10 ans de service, bricolage à base de proxy TCP caché dans le modem,zéro contrôle de l'utilisateur sur la config,...) , ni d'eutelsat en terme commercial ou support client.
La fausse manip doublée de gros article "attaque russe, bouh" m'étonnerais pas (quand il y a de l'argent en jeu...)

Pour les éoliennes, ça me parait complètement dingue que le système de contrôle repose uniquement sur une connexion sat, d'autant plus quand on connaît la mauvaise qualité de service pendant les intempéries (c'est pas une critique, c'est inhérent au système, mais c'est un fait)

Titre: Ka-sat down
Posté par: pitalugue le 01 mars 2022 à 10:47:44
Cela montre des failles importantes lors de la conception si il est possible de pousser un firmware qui tue les modems aussi facilement.

Les outils et leurs interfaces d'admin / diagnostique restent un vecteur d'attaque important en marge du code fonctionnel du firmware.
Dans un cas qui pourrait ressembler, souvenez vous de l'attaque via ASF des cartes réseau broadcom.
Ou encore assez typiquement les problèmes causés par Intel AMT, je ne les ai plus en mémoire mais je me souviens de la nécessité d'agir à plusieurs reprises.
Titre: Ka-sat down
Posté par: Nico le 01 mars 2022 à 11:08:48
Mais le briquage des modems c'est une info fiable ou pas ? Je demande car vu l'impact divers et varié je me demande quand même si c'est possible que ça impacte autant côté modems. Il doit y en avoir plein de sortes différentes...
Titre: Ka-sat down
Posté par: PeGGaaSuSS le 01 mars 2022 à 13:33:09

Sauf si le matériel a été matériellement détruit (tel un USB Killer) je voit pas ce qui empêcherait de reprogrammer l'EEPROM en rebalançant un vieux firmware.

J'ai un modem qui n'a pas été brancher depuis des années donc qui a toujours un tel firmware, j'imagine que quelqu'un chez Eutelsat/ViaSat/fournisseurs doit également avoir ça qui traine.

Alors oui ça implique pas mal d'heures de boulot mais bon à défaut...
Titre: Ka-sat down
Posté par: obinou le 01 mars 2022 à 13:33:50
Mais le briquage des modems c'est une info fiable ou pas ? Je demande car vu l'impact divers et varié je me demande quand même si c'est possible que ça impacte autant côté modems. Il doit y en avoir plein de sortes différentes...

En fait pas tant que ça: C'est viasat qui les fourni, et sur ka-sat il doit y en avoir 2 modèles pour les particuliers (surfbeam 2 et 2+) et ptet 2 de plus pour les pro que je connais pas.
Le plus répandu est de loin le surfbeam2, vu que c'est le 1er et le seul qui a été distribué au début du ka-sat, il peux monter à 22Mbps. Le 2+ peux monter à 50 je crois, mais pas sur que les tria grand public sachent suivre. Ca fait quelques centaines de milliers d'unité, à peine un début de batch de livebox...
Titre: Ka-sat down
Posté par: obinou le 01 mars 2022 à 13:36:34
Sauf si le matériel a été matériellement détruit (tel un USB Killer) je voit pas ce qui empêcherait de reprogrammer l'EEPROM en rebalançant un vieux firmware.

J'ai un modem qui n'a pas été brancher depuis des années donc qui a toujours un tel firmware, j'imagine que quelqu'un chez Eutelsat/ViaSat/fournisseurs doit également avoir ça qui traine.

Alors oui ça implique pas mal d'heures de boulot mais bon à défaut...

Les modems ont toujours été mis à jour via le réseau.
Il n'y a pas de port série (apparent), pas de bouton, rien.
Au mieux un tftpboot, mais vu que le port réseau monte pas à l'allumage....

Pas de manip possible par un particulier, on va pas demander à des milliers de particuliers de souder un jtag, quand bien même ça serais récupérable ainsi (ce que je le pense pas connaissant viasat)
Titre: Ka-sat down
Posté par: PeGGaaSuSS le 01 mars 2022 à 16:00:24
Le particulier tout ce qu'il doit faire c'est renvoyer le modem au SAV de son FAI.
Titre: Ka-sat down
Posté par: alain_p le 01 mars 2022 à 16:22:18
Mais qui n'a pas les stocks, comme indiqué dans l'article, pour remplacer 10.000 modems ou plus (si les mêmes dans d'autres pays). C'est pourquoi je disais que obinou serait peut-être amené à passer sur un autre satellite avec un autre modem où il y aurait plus de stocks (et encore, cela ne me parait maintenant pas évident).
Titre: Ka-sat down
Posté par: PeGGaaSuSS le 01 mars 2022 à 17:33:18
Encore une fois je ne parle pas de remplacer les modems, just les EEPROM contenant le firmware.
Titre: Ka-sat down
Posté par: alain_p le 01 mars 2022 à 17:45:13
Et tu es sûr qu'ils en ont encore de ce modèle, et même s'ils en ont quelques unes, qu'ils ont le stock pour tout ? Surtout en ce moment, où il y a des pénuries de composants ?
Titre: Ka-sat down
Posté par: obinou le 01 mars 2022 à 19:06:10
Encore une fois je ne parle pas de remplacer les modems, just les EEPROM contenant le firmware.

Je pense que si tu penses qu'ils vont embaucher des mecs pour remplacer (ou reflasher) 100k modem d'un sat lancé en 2011 dont le matériel de réception appartient (parfois, comme moi) aux client et est hors garantie depuis plusieurs années, tu rêves éveillé.
Je pense plutôt qu'ils vont faire une offre promo pour passer sur un autre sat, comme Konnect, qui offre jusqu'à 100Mbps en pointe. Je ne sais pas si les services pro marchent encore , et/ou si ce satellite (9B) est encore utilisé à autre chose, sinon ils vont simplement le désorbiter.

Là Nordnet a offert le mois de mars et a crédité de 45Go une carte SIM qui était associé à l'abonnement. Du point de vue de Nordnet ils peuvent guère faire grand chose d'autre, donc je les en remercie (même si ça me sert à rien).
Titre: Ka-sat down
Posté par: testing5555 le 02 mars 2022 à 10:20:16
Encore une fois je ne parle pas de remplacer les modems, just les EEPROM contenant le firmware.
Quand bien même tu reflashes un vieux firmware manuellement (et si ce n'est pas prévu et qu'il faut faire souder/dessouder sur les cartes ça peut déjà être bien sympa) tu repars avec la faille et tu vas te faire rebriquer ton matos immédiatement.
Il faut dont dans le même temps préparer un nouveau firmware qui corrige la faille...

Après c'est bizarre leur système. Comment le modem se retrouve à récupérer un firmware vérolé ?
Il se sont fait hacker leur système de management des modems ? Une API du modem a été découverte pour flasher un firmware qui vient de n'importe où (sans signature ou autre) ?
Titre: Ka-sat down
Posté par: vivien le 02 mars 2022 à 10:25:15
J'imagine qu'il n'y a pas de signature pour authentifier les mises à jour et refuser un binaire non signé ou signé par une source inconnue.
Titre: Ka-sat down
Posté par: PeGGaaSuSS le 02 mars 2022 à 12:29:51
 ::)

Dans aucun ordre précis, pour le moment on ne sait rien donc à part spéculer on ne fait rien, ce qui n’empêche pas d'avoir un peu de bon sens.

Quand on se donne un objectif on y met généralement les moyens. Pourrir le firmware c'était une étape, le boulot a été fait pour qu'il soit distribuer (peut-être pas par la même équipe d'ailleurs, chacun son domaine). Signature ou pas, il y a des failles (qui peuvent d'ailleurs être humaines autant que soft ou hard) qui auraient permis de passer outre. Il serait d'ailleurs bon de ne pas mystifier les "forces" d'Eutelsat, ViaSat et autre en matière de sécurité informatique. Ce n'est pas leur cœur de métier, le seul truc surprenant c'est que ça ne soit pas arriver plus tôt, et vu le contexte l'exploit avait du être soit créer soit acheter puis mis de côté pour une bonne occasion.

Ce qui veut aussi dire que le problème n'est pas forcement destructeur et que les traces de l'attaque permettent possiblement de la mitiger. Donc peu importe comment tu reprends la main tu ne te fera probablement pas pourrir immédiatement.

Concernant l'aspect coût c'est un choix à faire mais j'ai du mal a croire que réparer les modems a défaut de les remplacer reviendrait plus cher que de basculer tout ceux qui était sur KA-SAT (pas 9B d'ailleurs) sur un autre. Vu qu'il était déjà saturer sur certains beams, ça reviendrais a réduire d'autant la durée de vie commerciale de Konnect. Et construire puis lancer (surtout actuellement avec la perte de Soyouz sur Kourou) un autre sat dans des délais raisonnable c'est pas 5 balles qu'il va falloir sortir...
Titre: Ka-sat down
Posté par: Nico le 02 mars 2022 à 12:51:43
Selon Netblocks ce serait une large majorité de la connectivité de Ka-Sat qui serait HS.

https://twitter.com/GossiTheDog/status/1498983565022871554
Titre: Ka-sat down
Posté par: Nico le 02 mars 2022 à 12:52:38
Nordnet bloqué par l'indisponibilité du satellite KA-SAT de Viasat

Attaqué, le réseau satellite de Viasat est rendu indisponible par des hackers. Le satellite KA-SAT, racheté à Eutelsat, fait partie du réseau, touchant les abonnés Nordnet satellite.

Depuis avril 2021, EutelSat a vendu les satellites du service Euro Broadband Infrastructure, dont le satellite KA-SAT, à l'américain Viasat. Ce satellite fournit de l'accès Internet à haut débit sur l'Europe, une partie de l'Afrique et du Moyen-Orient. Le satellite est utilisé par plusieurs opérateurs en Europe dont Nordnet, mais également des FAI ukrainiens. D'après Le Figaro, des hackers russes seraient derrière l'indisponibilité du satellite KA-SAT.

Depuis le 24 février, Nordnet signale l'indisponibilité de son service Internet par satellite, en particulier sur le satellite KA-SAT. Les clients concernés sont abonnés aux offres SuperNova, SuperNova Gold, Sirius, Vega, Oz, Max, Pro, Alsaway (venant de Alsatis), Connect'Ecoles et ConnectTourism, utilisant le satellite KA-SAT. Les abonnés neosat, utilisant le nouveau satellite Konnect d'Eutelsat, et les abonnés utilisant un satellite Astra de SES ne sont pas concernés.

https://www.echosdunet.net/breve/nordnet-bloque-par-lindisponibilite-du-satellite-ka-sat-de-viasat
Titre: Ka-sat down
Posté par: vivien le 02 mars 2022 à 12:59:18
La panne de Ka-sat prive 5800 éoliennes (puissance cumulée de 11 Gw) de contrôle à distance, mais cela n'affecte pas la production d’électricité :

Le fabricant allemand d'éoliennes Enercon GmbH a confirmé mardi qu'il y avait un impact limité sur la surveillance et le contrôle à distance de 5 800 de ses éoliennes en Europe centrale, mais a rassuré qu'il n'y avait aucun risque pour les unités et a souligné que le problème était pas causé par une défaillance technique du côté de l'entreprise.

L'annonce a été faite à la suite d'un examen approfondi du dossier, lancé après qu'"une perturbation massive de la liaison satellite en Europe" a touché jeudi des éoliennes d'une puissance cumulée de 11 GW.

Enercon a expliqué que la surveillance et le contrôle à distance des turbines ne sont actuellement possibles que dans une mesure limitée, mais qu'elles fonctionnent en mode automatique, produisant de l'électricité verte sans aucun risque.

"La perturbation altère uniquement le canal de communication entre le service et les éoliennes. Cela signifie que l'éolienne ne peut pas être réinitialisée à distance en cas de panne. Au lieu de cela, une équipe de service doit effectuer la réinitialisation directement sur l'éolienne, " a déclaré la société, ajoutant que les opérateurs de réseau ont toujours un accès illimité aux turbines pour contrôler leur comportement dans le réseau électrique.

Enercon a informé l'Office fédéral de la sécurité de l'information (BSI) de l'incident car les éoliennes sont considérées comme des infrastructures critiques.

Le fabricant d'éoliennes a assuré qu'il travaillait avec les fournisseurs de satellites pour résoudre le problème et rétablir le contrôle à distance dès que possible.

La raison de la perturbation du satellite n'est pas claire, mais la panne des services de communication a coïncidé avec l'invasion de l'Ukraine par la Russie. Le problème a touché environ 30 000 terminaux satellites à travers l'Europe qui sont utilisés par diverses industries.

Source : Renewables Now (https://renewablesnow.com/news/update-enercon-rules-out-tech-failure-in-remote-turbine-ops-says-there-is-no-risk-775387/) le 2 mars 2022
Titre: Ka-sat down
Posté par: obinou le 02 mars 2022 à 13:58:18
30 000 ça me parait déjà plus raisonnable pour toute l'EU...
Titre: Ka-sat down
Posté par: xp25 le 02 mars 2022 à 14:06:08
Quand la réalité rattrape la fiction de 2007 :P

Die Hard 4 : Retour en enfer - Bande annonce :

https://youtu.be/IQuquL2xuzY
Titre: Ka-sat down
Posté par: xp25 le 02 mars 2022 à 14:11:46
Celui là est pas mal dans son genre, surveillance et piratage de satellite :

Antitrust 2001 - Bande annonce :

https://youtu.be/V9DGjuZApYw
Titre: Ka-sat down
Posté par: PeGGaaSuSS le 02 mars 2022 à 14:50:28
Effectivement j'avais raté une étape. Eutelsat ayant revendu sa part de la joint-venture qu'il avait créer avec ViaSat a ce dernier, il n'a plus la main sur KA-SAT hormis un contrat concernant j'imagine l'usage du téléport de Rambouillet.

Avec le rachat de bigblu, Eutelsat est désormais un concurrent direct via la commercialisation de Konnect. Bref aucun report d'abonnés à espérer de ce côté sauf si les FAI qui commercialisaient les deux offres le décide.

Titre: Ka-sat down
Posté par: vivien le 02 mars 2022 à 15:26:55
Viasat à répondu à 01net :

«Viasat connaît une panne de réseau partielle, ce qui a un impact sur le service Internet pour les clients haut débit fixes en Ukraine et ailleurs sur notre réseau européen KA-SAT. Notre enquête sur la panne se poursuit, mais jusqu'à présent, nous pensons qu'elle a été causée par une cyber-attaque. Nous enquêtons et analysons notre réseau et nos systèmes européens pour identifier sa cause et prenons des précautions supplémentaires pour éviter d'autres impacts pendant que nous tentons de rétablir le service pour les clients concernés. Les forces de l'ordre et les partenaires gouvernementaux ont été informés et participent à l'enquête en cours, aux côtés d'une société de cybersécurité tierce. L'enquête est en cours, mais à ce jour les données des clients n'auraient pas été compromises.»


Source : 01net (https://www.01net.com/actualites/plusieurs-milliers-de-box-internet-francaises-en-panne-a-cause-de-cyber-attaques-russes-2055148.html) article "Plusieurs milliers de box Internet françaises en panne à cause de cyber-attaques russes ?" d'Amélie CHARNAY du 2 mars 2022.
Titre: Ka-sat down
Posté par: vivien le 03 mars 2022 à 09:47:03
obinou, je confirme que tu n'es pas seul et que les modems sont bien briqués et donc inutilisables.

La communication de Viasat est volontairement très limitée sur le sujet, il doit y avoir d'autres enjeux.
Titre: Ka-sat down
Posté par: obinou le 03 mars 2022 à 11:43:05
obinou, je confirme que tu n'es pas seul et que les modems sont bien briqués et donc inutilisables.

OK. C'est ce dont je me doutait depuis le début au vu des symptômes (j'ai briqué moi-même suffisamment de cartes & de modem en tout genre pour le reconnaître quand ça arrive même sans ouvrir).
Je doute encore un peu de la responsabilité russe en la matière : L'objectif est de très faible valeur stratégique dans le conflit en cours , surtout si on ne touche que le k-sat et pas d'autres sat, ni d'autres infra au sol (mais c'est peut-être un objectif, je sais pas).

Par contre c'était peut-être "tellement simple" à faire que , hey, pourquoi pas le faire ?
Ça peux être aussi le fait d'un groupe russe, indépendant du gouvernement, qui avait ces accès et l'a fait juste parce qu’ils le pouvaient.
Ou alors ça peux être aussi un stagiaire chez viasat, c'est pas non plus impossible.

Dans tous les cas ci-dessus ça montre surtout que le système de maj était pas ou mal sécurisé, et qu'il n'était pas conçu pour être "rattrapé" même localement en cas de problème. Et c'est à mon avis là le plus problématique.
Un simple bootloader verrouillé en écriture avec un TFTPboot comme sur n'importe quel modem broadcom aurait pu sauver l'affaire, mais là avec le port eth down...

Citer
La communication de Viasat est volontairement très limitée sur le sujet, il doit y avoir d'autres enjeux.
Bah si ils essaient de faire passer ça sur le dos du cas de force majeure à cause du conflit, tu m'étonnes...
Mais bon est-ce qu'un constructeur peux se prévaloir de son incompétence / imprévoyance lorsque ce genre de chose arrive...?

J'espère qu'on verra un jour un post-mortem, comme certaines sociétés le font (cloudflare, facebook, ovh,...) mais connaissant la culture d'entreprise viasat , et plus généralement du monde du sat, ça m'étonnerais qu'une telle transparence apparaisse un jour.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 04 mars 2022 à 11:49:49
C'est enfin officiel : L'armée annonce que Ka-Sat a été victime d'une cyberattaque.

Michel Friedling, le commandement de l'espace (CDE), un service interarmées de l'Armée française dépendant du Chef d'état-major de l'Armée de l'air et de l'espace créé le 3 septembre 2019 annonce à l’occasion d’un point presse tenu par le ministère des Armées hier que l’origine du dysfonctionnement observé sur le satellite Ka-Sat depuis le 24 février est bien une cyberattaque.

L'armée n'a fait aucune attribution (responsable de la cyberattaque), même si le timing semble accuser la Russie.

Le nombre de victimes dans l’Hexagone est évalué à quelques dizaines de milliers.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 04 mars 2022 à 14:50:46
OK.

J'espère qu'un jour on aura accès au modus opérandi.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: alain_p le 04 mars 2022 à 21:40:03
Je suis assez sceptique. La formulation "dysfonctionnement observé sur le satellite Ka-Sat", alors que l'on sait qu'il s'agit de modems briqués, montre que déjà on ne précise pas vraiment le problème, alors qu'il est connu, et que l'on introduit même de fausses pistes.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 04 mars 2022 à 22:10:12
J'ai été en contact avec des journalistes qui ont contactés Orange (maison mère de Nordnet) sur le sujet il y a quelques jours et ils savaient que les modems étaient briqués. Comme ils n'ont pas écrit dans leur article il y a du avoir des pressions pour en dire le moins possible.

Le fait que ce soit l'armée qui prenne la parole (pour ne pas dire grand chose) montre bien que le sujet est pas habituel (alors que le nombre de clients impactés est relativement limité, la panne de K-Net touchant plus de clients).
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: alain_p le 04 mars 2022 à 22:24:44
Il semble quand même d'aprsès SudOuest, que le "commandant français de l'Espace", Michel Friedling, ait été plus précis :

Citer
Si l’euphémisme « cyber-événement » sous-entendait une cyberattaque, le fait a été confirmé jeudi par le général Michel Friedling, qui dirige le commandement français de l’Espace. « Depuis quelques jours, peu après le début des opérations, nous avons eu un réseau satellitaire qui couvre notamment l’Europe et notamment l’Ukraine qui a été victime d’une attaque cyber, avec des dizaines de milliers de terminaux qui ont été rendus inopérants immédiatement », a-t-il indiqué.

https://www.sudouest.fr/international/ukraine-des-milliers-d-internautes-europeens-prives-d-internet-apres-une-cyberattaque-9522570.php
Titre: Ka-sat down
Posté par: mattmatt73 le 05 mars 2022 à 00:03:34
Effectivement j'avais raté une étape. Eutelsat ayant revendu sa part de la joint-venture qu'il avait créer avec ViaSat a ce dernier, il n'a plus la main sur KA-SAT hormis un contrat concernant j'imagine l'usage du téléport de Rambouillet.

Avec le rachat de bigblu, Eutelsat est désormais un concurrent direct via la commercialisation de Konnect. Bref aucun report d'abonnés à espérer de ce côté sauf si les FAI qui commercialisaient les deux offres le décide.

Ka-sat c'est pour nous en europe de l'ouest, le téléport de Skylogic à Turin.
Eutelsat n'a jamais exploité en propre, les italiens d'eutelsat ayants toujours fait n'importe quoi avec Ka-sat.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: mattmatt73 le 05 mars 2022 à 00:06:31
OK.

J'espère qu'un jour on aura accès au modus opérandi.

viasat : c'est comme si on prenait le pire de thales sagem et eads.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: Fyr le 05 mars 2022 à 04:59:49

Quelqu'un à d'autres infos ?

Les russes.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 05 mars 2022 à 12:24:04
https://www.numerama.com/cyberguerre/870363-un-satellite-serait-victime-dune-cyberattaque-des-francais-nont-plus-internet.html

https://www.numerama.com/cyberguerre/873005-la-france-confirme-une-cyberattaque-contre-un-satellite-qui-a-affecte-des-francais.html
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: alain_p le 05 mars 2022 à 12:34:33
Oui, sauf qu'ils sont eux aussi à côté de la plaque :

Citer
Un satellite connait des dysfonctionnements significatifs

Si c'est le satellite qui dysfonctionnait, ton modem démarrerait, et s'arrêterait à l'étape de la connexion avec le satellite.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: mattmatt73 le 05 mars 2022 à 14:01:08
Oui, sauf qu'ils sont eux aussi à côté de la plaque :

Si c'est le satellite qui dysfonctionnait, ton modem démarrerait, et s'arrêterait à l'étape de la connexion avec le satellite.

Le satellite en question (le ka-sat) ne peut pas dysfonctionner (sauf hackage de la matrice rf) c'est donc les modems et/ou les teleports qui sont attaqués.
C'est un satellite qui n'a pas de fonction de traitement des flux à bord)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 05 mars 2022 à 17:32:14
Le satellite en question (le ka-sat) ne peut pas dysfonctionner (sauf hackage de la matrice rf) c'est donc les modems et/ou les teleports qui sont attaqués.
C'est un satellite qui n'a pas de fonction de traitement des flux à bord)

On est d'accord que Eutelsat 9B & le Ka-Sat sont deux aeronef séparé ?
Donc si la décision est prise de ne pas remplacer les modems, l'appareil lui-même est inutile , il n'a pas de fonctions annexes ?
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: mattmatt73 le 05 mars 2022 à 18:10:16
On est d'accord que Eutelsat 9B & le Ka-Sat sont deux aeronef séparé ?
Donc si la décision est prise de ne pas remplacer les modems, l'appareil lui-même est inutile , il n'a pas de fonctions annexes ?

Yes sir yes
Ka-sat et 9B sont 2 satellites différents
eutelsat a vendu Ka-Sat a Viasat (en gros son constructeur)

Viasat peut faire ce qu'il veut du satellite, mais le rendre inopérant alors qu'il peut assurer un service....
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: xillibit le 05 mars 2022 à 21:55:38
Il serait utilisé par l'armée ukrainienne :

Citer
Et usage de ces satellites par l’armée ukrainienne. Ça commence à faire beaucoup de coïncidences…

https://twitter.com/gbillois/status/1500209379911553034
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: xp25 le 05 mars 2022 à 23:44:49
J'ai trouvé un github de hack pour le  modem Viasat rm4100  :

https://rjmendez.github.io/posts/2018/09/rm4100-memdump/

https://rjmendez.github.io/posts/2018/09/rm4100-console/

https://rjmendez.github.io/posts/2018/09/rm4100-uart/

Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 06 mars 2022 à 12:06:11
J'ai trouvé un github de hack pour le  modem Viasat rm4100  :

https://rjmendez.github.io/posts/2018/09/rm4100-memdump/
https://rjmendez.github.io/posts/2018/09/rm4100-console/
https://rjmendez.github.io/posts/2018/09/rm4100-uart/

Marrant !
Du coup je vais pouvoir essayer, j'ai rien à perdre :-)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: alain_p le 06 mars 2022 à 12:20:17
Si le modem ne démarre pas, je ne vois comment tu pourras le charger ? A moins que tu aies ce qu'il faut pour flasher le chipset ?
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: xp25 le 06 mars 2022 à 13:07:36
Il y en a à vendre des modems comme le sien, si il sait bidouiller 8)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: dhyd le 06 mars 2022 à 15:41:33
bjr
Il gagnera plus d'argent s'il se met à réparer tous les modems qui sont tombés en rade.
Donc création de micro entreprises et mettre de la pub sur les bons forums.
Et s'il ne demande que 30€ par intervention, fait le calcul sur les milliers de modems en rade actuellement.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: xp25 le 06 mars 2022 à 16:27:45
Obiniou, tu as testé l'adresse d'installation (pas oublier le  / de fin) ->http://192.168.100.1/install/

En branchant d'abord le modem en Ethernet à un PC et en branchant son alim ensuite pour qu'il démarre ?

Il a l'arrière comme ça ton modem ?

(https://static.bakeca.it/immagini/044/computer-informatica-bari-tooway-viasat-surfbeam-2-04486e3d42517243a499c90151209655.jpg)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: xp25 le 06 mars 2022 à 16:54:48
Je suis tombé sur ce forum polska ->https://zaufanatrzeciastrona.pl/post/tysiace-terminali-internetu-satelitarnego-powaznie-uszkodzonych-w-dniu-ataku-na-ukraine/

Trad Google :

Un de leur lecteur Artur raconte :

Jeudi, le premier lot de modems satellites Tooway a été attaqué et le firmware de ces modems a été effacé. Il s'agissait de modems à port unique. Le lendemain, vendredi, des modems plus avancés (avec WiFi) ont été attaqués et ils ont également été éteints. Malheureusement, le méga-opérateur "a donné les corps" car après la première attaque, il n'a pas bloqué la poursuite de la destruction du réseau d'abonnés et a permis qu'il soit presque complètement endommagé. Actuellement, seuls les modems qui étaient déconnectés du réseau satellite au moment de l'attaque fonctionnent, et les dispositifs de sauvegarde qui doivent être réactivés ou qui n'ont pas été activés depuis mi-2021 ne fonctionnent pas. L'opérateur n'effectue actuellement aucune nouvelle activation.

La situation actuelle est que les modems des utilisateurs sont morts. Les LED sont éteintes. Le micrologiciel de l'appareil IDU ne démarre pas - modem interne (j'ai vérifié avec l'analyseur de spectre radio sur le port du câble coaxial - il n'y a pas de signal sur le port vers l'ODU (vers l'appareil externe / l'émetteur à l'antenne)). Le port ETH du routeur IDU fonctionne électriquement mais ne répond pas aux paquets. L'ODU à l'antenne ne répond pas - il a son propre système d'exploitation, mais pas de puissance ou de signal de fréquence intermédiaire. Il n'est pas possible de télécharger à distance (depuis l'opérateur) un nouveau logiciel sur le modem - IDU ou sur l'émetteur satellite - ODU. IMHO était une attaque menée depuis le siège de l'opérateur qui a envoyé une mise à jour défectueuse à distance (OTA) aux appareils des abonnés et endommagé (supprimé) le flash avec le logiciel dans les routeurs des abonnés. De jeudi à aujourd'hui, la connexion satellite ne fonctionne pas, l'opérateur ne prévoit pas de temps de réparation. Cela se comptera probablement en semaines. Je suis d'avis qu'ils ne peuvent pas le réparer à distance. Je ne sais pas si cela peut être corrigé via le port USB du routeur (l'analyseur USB branché sur le port ne montre pas l'activité du routeur).

Peu de chanceux avant-gardistes
Arthur a réussi à se reconnecter au réseau. Comme? Il a été prévenu et s'est acheté à l'avance un modem de rechange d'occasion.

Le progrès avec le too-way pour aujourd'hui est que j'ai pu faire fonctionner un modem de secours (je suis déjà vieux, mon historique de travail et en général la vie m'a appris à être un hamster). Quand je vois quelque chose dont j'ai besoin, c'est inhabituel, rare, et que je le trouve sur des portails d'enchères, je l'achète pour changer. Et donc il y a un an, j'ai acheté un modèle légèrement différent (plus étendu avec WiFi et plus de ports ETH - SB2-Plus). Réserves de matériel à domicile en cas d'heure W ;)

Aujourd'hui, il a été activé et connecté au réseau skylogica (opérateur du bloc ip, qui est dans le service too-way). Au fait, le modem a téléchargé une nouvelle version du logiciel (OTA). J'étais un peu livide en attendant le résultat de la mise à jour.

La situation actuelle est celle-ci :

1. Le satellite est toujours en orbite (KA-SAT). Il n'a été détourné par aucun satellite russe de type Kosmos-2504.

2. Les stations côtières (téléports) fonctionnent, du moins dans notre région, probablement à Berlin.

3. L'infrastructure de l'opérateur est si efficace que la réactivation du modem de l'utilisateur actuel fonctionne (le modem doit être activé à chaque fois avant la première utilisation).

4. La vitesse de liaison est très élevée - cela signifie qu'il n'y a probablement pas trop de trafic. Vitesse de liaison maximale avec ce modèle ODU (ils appellent etira). Quand il est plus puissant de 4 watts, il est un peu plus rapide alors - actuellement, j'ai environ 49,15 Mbps en téléchargement, 6,12 Mbps en téléchargement et environ 590 ms rtt. Généralement autour de 40 D / 5 -10 UP. La vitesse UPload dépend fortement de l'état de l'atmosphère - la quantité de vapeur d'eau dans l'air - car le signal est transmis dans la bande KA.

5. J'ai parlé au fournisseur et il a confirmé qu'il était également en mesure de réactiver le NOUVEAU modem, mais très peu de personnes ont des modems de rechange.

Cet échec s'est-il produit tout seul et qui peut en être à l'origine ?
Nous ne sommes pas sûrs de la nature des causes de cet accident, mais certaines circonstances indiquent qu'il pourrait être lié à l'attaque de la Russie contre l'Ukraine. Voici les raisons :

L'échec a commencé vers 5 heures du matin le 24 février, donc littéralement au moment de l'attaque de la Russie contre l'Ukraine.
Selon Golem.de , l' échec a commencé en Ukraine puis s'est propagé à d'autres clients.
Les services Viasat étaient populaires en Ukraine, par exemple lors des élections de 2012, plus de 12 000 terminaux Viasat ont été utilisés pour la surveillance vidéo des bureaux de vote.
Viasat a décrit les causes de l'accident comme un " incident cybernétique " et a engagé une cyberentreprise externe pour déterminer les causes de l'accident.
Il semble donc que soit nous ayons affaire à une incroyable coïncidence, soit le manque d'Internet chez les clients de Tooway est le résultat d'une action délibérée liée à l'attaque de la Russie contre l'Ukraine.

Je vous laisse lire les coms c'est intéressant ;)

Bon, apparemment il suffit d'acheter un modem d'occaz et roule ma poule  :P

2022.03.04 00:13 Arthur   #
Oui. L'installation d'un nouveau modem devrait fonctionner pour vous. Vous avez juste besoin d'avoir un code d'activation (le même que vous l'avez installé pour la première fois)


2022.03.04 12:18 Arthur   #
Les modems fonctionnant avec le service TooWay en Europe (testés empiriquement) sont :
1. SurfBeam 2, type : RM4100, 1 port
2. SurfBeam 2 Pro, type : RM5111, étendu avec WiFi

Il existe probablement d'autres types aussi, mais ceux-ci sont dans ma main.
RM4100 touché par une attaque jeudi. Mort pour le moment.
RM5111 fonctionne après activation.

A vous de jouer  8)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 07 mars 2022 à 09:20:21
J'ai bien un RM4100.,

Intéressant article, merci  xp25.
Pour info il n'y a pas de link du tout sur le port RJ45. Sinon tu penses bien que j'aurais essayé de toucher l'adresse 192.168.100.1 , d'autant qu'elle est dans mon monitoring.

Je n'ai pas trop le temps de m'en occuper actuellement mais c'est intéressant de voir qu'on pourrais reécrire la flash si on avait le bon contenu.
(Je ne sais pas si l'adresse mac a été conservée, ni où elle est stocké dans la flash, je sais juste que c'est avec elle qu'ils identifient l'abonné)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 07 mars 2022 à 09:21:40
bjr
Il gagnera plus d'argent s'il se met à réparer tous les modems qui sont tombés en rade.
Donc création de micro entreprises et mettre de la pub sur les bons forums.
Et s'il ne demande que 30€ par intervention, fait le calcul sur les milliers de modems en rade actuellement.

Pas sur que ce soit une affaire rentable :-)
D'autant que beaucoup d'abonnés louent ce modem (contrairement à moi). Donc à moins de proposer mes services à Viasat...
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: testing5555 le 07 mars 2022 à 09:29:35
Bon, apparemment il suffit d'acheter un modem d'occaz et roule ma poule  :P
Si la faille n'a pas été corrigée c'est juste un répit jusqu'à la prochaine attaque (ou alors il faut trouver un modèle qui n'aurait pas été impacté).
Et vu que l'opérateur se fait discret on peut se poser la question de savoir si une protection a été mise en place depuis...
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: dhyd le 07 mars 2022 à 10:38:54
bjr
Et bien je pense que depuis le jour où cela est arrivé, ils doivent être en réunion de crises tous les jours pour savoir quoi faire et surtout quoi répondre aux nombreux utilisateurs donc ils cherchent et quand ils auront trouvé, ils communiqueront mais pas avant et ça peut prendre du temps.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 07 mars 2022 à 12:59:15
Si la faille n'a pas été corrigée c'est juste un répit jusqu'à la prochaine attaque (ou alors il faut trouver un modèle qui n'aurait pas été impacté).
Et vu que l'opérateur se fait discret on peut se poser la question de savoir si une protection a été mise en place depuis...

En même temps si tu sais réparer ton modem en le reflashant 1 fois, tu peux le faire plusieurs fois ensuite :-)
Je sais pas si les maj sont faites sous forme de "carroussel" (cad repassent régulièrement , comme pour les décodeurs TV) ou bien si c'est poussé en one-shot (et dans ce cas là ça implique que les modems éteints ou non connectés à ce moment ne seront pas mis à jour). Il est aussi possible que les modems eux-même viennent périodiquement chercher leur mise à jour sur un serveur de viasat , mais dans ce cas-là je reste étonné que le briquage ait été aussi rapide partout en europe.
 
bjr
Et bien je pense que depuis le jour où cela est arrivé, ils doivent être en réunion de crises tous les jours pour savoir quoi faire et surtout quoi répondre aux nombreux utilisateurs donc ils cherchent et quand ils auront trouvé, ils communiqueront mais pas avant et ça peut prendre du temps.

Et bien on va les laisser bosser tranquille....
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: PhilippeMarques le 07 mars 2022 à 15:25:36
En même temps si tu sais réparer ton modem en le reflashant 1 fois, tu peux le faire plusieurs fois ensuite :-)
[Je sais pas si les maj sont faites sous forme de "carroussel" (cad repassent régulièrement , comme pour les décodeurs TV) ou bien si c'est poussé en one-shot (et dans ce cas là ça implique que les modems éteints ou non connectés à ce moment ne seront pas mis à jour). Il est aussi possible que les modems eux-même viennent périodiquement chercher leur mise à jour sur un serveur de viasat , mais dans ce cas-là je reste étonné que le briquage ait été aussi rapide partout en europe.
Regardes du côté de DSM-CC
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: alain_p le 07 mars 2022 à 16:55:50
ou bien si c'est poussé en one-shot (et dans ce cas là ça implique que les modems éteints ou non connectés à ce moment ne seront pas mis à jour).

J'ai l'impression, vu la simultanéité que cette fois là, cela a été fait one-shot, et qu'ils ont loupé 20% des modems, vu la baisse du trafic.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: petrus le 07 mars 2022 à 21:37:59
Un article qui explique assez bien ce qui s'est probablement passé : https://www.reversemode.com/2022/03/satcom-terminals-under-attack-in-europe.html

Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: Harvester le 08 mars 2022 à 10:04:26
Très bon article d'Amaelle Guiton dans Libération (avec des morceaux de obinou dedans :)) :

https://www.liberation.fr/international/europe/panne-du-reseau-satellitaire-ka-sat-sur-la-piste-dun-sabotage-lie-a-la-guerre-en-ukraine-20220307_I6RWNYWVDNHDHGFPVQB2HZIVFM/
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 08 mars 2022 à 12:40:19
Très bon article d'Amaelle Guiton dans Libération (avec des morceaux de obinou dedans :)) :

https://www.liberation.fr/international/europe/panne-du-reseau-satellitaire-ka-sat-sur-la-piste-dun-sabotage-lie-a-la-guerre-en-ukraine-20220307_I6RWNYWVDNHDHGFPVQB2HZIVFM/

Paywall :-)
J'attendrais un peu...

Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: alain_p le 08 mars 2022 à 16:39:07
Très bon article d'Amaelle Guiton dans Libération (avec des morceaux de obinou dedans :)) :

Elle s'est bien renseignée...
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 08 mars 2022 à 21:44:51
Merci Amaelle pour cet article effectivement très bien sourcé (et merci à celui qui me l'a partagé).

Mea Culpa : Au départ je n'avais pas du tout pensé ni accepté la thèse de l'attaque russe, pour 2 raisons:
- Je ne voyais pas l'intérêt stratégique pour les russe de casser une poignée de sat européen,
- Je préfère toujours l'explication de l'incompétence à celle de la malveillance.

Or dans ce cas précis, je ne savais (bien sur) pas que la Ka-Sat était utilisé sur des sites stratégiques ukrainiens, encore moins par leur armée. Dans ce contexte, l'intérêt stratégique de profiter d'une faille découverte il y a sans doute plusieurs années et gardée 'dormante' devient  évidente, même si au final j'imagine que les ukrainiens ont d'autres moyens de communication, ne serait-ce que d'autres sats (cf les envois de matériel starlink récents)

La seule question qui reste maintenant en suspends, plus par curiosité que par réel utilité, c'est comment les russes ont fait exactement et depuis combien de temps ils étaient infiltré. Ca pourrais aussi (et surtout) servir de leçon: Quoi qu'il arrive, il faut toujours prévoir une récupération locale du système, avec une portion de la flash en lecture seule matérielle activée avec un bouton ou un jumper...
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: dhyd le 09 mars 2022 à 15:57:11
bjr
Je cite "La seule question qui reste maintenant en suspends, plus par curiosité que par réel utilité, c'est comment les russes ont fait exactement".
.
Et bien selon le même principe que les opérateurs qui utilisent ce satellite en envoyant un fichier de mise à jour piraté avec les bonnes infos pour rendre un modem qui télécharge cette mise à jour soit HS au redémarrage.
Trouver le fichier de mise à jour n'est pas trop compliqué si on possède au moins un modem compatible, après il faut les codes de connexion au sat, ce qui je pense pour les Russes ne doit pas être difficile à trouver.
 
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: MoXxXoM le 09 mars 2022 à 17:32:43
Trouver le fichier de mise à jour n'est pas trop compliqué si on possède au moins un modem compatible, après il faut les codes de connexion au sat, ce qui je pense pour les Russes ne doit pas être difficile à trouver.

Non le sat est transparent (et en plus sans être sous un spot gateway / TMTC -télémesure/télécontrôle- je pense pas que ça soit possible d'atteindre la conf de la charge utile), et ça a déjà été dit c'est clairement le segment sol qui a été compromis, donc surement les italiens de Skylogic qui gère l'exploitation de Ka-Sat, entres autres. L'opérateur ukrainien impacté (Datagroup) indique sur un /22 que ces IPs sont lié à Skylogic ("mnt-by: SKYLOGIC-MNT" & "descr: Skylogic Inet" dans les objets ripe).
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: xp25 le 09 mars 2022 à 19:03:54
On va bientôt apprendre que c'est comme TV5MONDE (écoutez bien la fin  ;))

https://www.youtube.com/watch?v=Lj49VHxcgYc

Le topic concernant cet incident sur lafibre -> https://lafibre.info/tv-numerique-hd-3d/piratage-tv5/

Toutes ces histoires ça me rappel le film Hacker (de 1995) ou le mec pirate une chaine de TV :

https://www.youtube.com/watch?v=wwcQ--gTHGk
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 11 mars 2022 à 22:02:12
Ce soir j'ai reçu un mail de Nordnet:

Cher(e) client(e),
Notre fournisseur VIASAT nous a confirmé que le remplacement de votre modem est impératif pour la remise en service de votre accès Internet.
Nous allons vous expédier gratuitement un nouveau modem
ce lundi 14 mars
Délai de livraison : sous 24h à 48h après cette date
L’ampleur de la panne subie à l’échelle européenne a entrainé des difficultés d’approvisionnement auprès de notre fournisseur VIASAT. Malgré la pleine mobilisation de nos équipes, nous regrettons de n’avoir pu vous livrer plus rapidement.
Dès livraison, vous pourrez remplacer votre modem actuel pour remettre en service votre accès Internet. Vous n’avez aucune autre intervention à prévoir sur la parabole située à l’extérieur !
 

Votre clé d’activation : xxxx - xxxxxxxxxxxxxxxxxx

Votre couleur de faisceau : ORANGE

L’utilisation de ces informations vous sera expliquée dans la documentation jointe au colis
- La procédure de mise à jour du nouveau modem peut durer 30 à 40 minutes.
- Conservez le boîtier d’alimentation de votre ancien modem : il vous sera utile pour brancher votre nouveau modem.
Nous vous présentons à nouveau toutes nos excuses pour ce désagrément et nous tenons à vous remercier pour la compréhension et la patience dont vous avez su faire preuve face à cette situation tout à fait inédite.
À bientôt,
Votre Service Clients


Au final je reste assez impressionné : Moins d'un mois pour rétablir l'accès dans toute l'Europe et des centaines de milliers de modems à expédier, dans une attaque inédite.
Moi je leur dit bravo, à Viasat pour les modem (qu'on espère moins vulnérables) et à Nordnet pour l'opération de pousse-carton, qui dans ces moments est loin d'être triviale.
(Comme l'a dit Vivien ca ne s'est pas passé aussi bien pour d'autres FAI récemment... et sans ingérence étrangère)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: xp25 le 11 mars 2022 à 22:39:00
Aaaaaaaaah  8)

On note que l'adaptateur secteur est recyclé +10pts en faveur de l'écologie.

Et sinon le vieux boîtier, tu as pu l'expertiser et essayer de le sauver ?
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 11 mars 2022 à 22:41:17
Et sinon le vieux boîtier, tu as pu l'expertiser et essayer de le sauver ?

Pas encore : Je ne savais pas si ils allaient le demander, si il y aurais un jour moyen de le dé-bricker...
Mais maintenant qu'ils vont envoyer un autre modem, oui, je vais essayer de regarder.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: hwti le 12 mars 2022 à 01:10:55
Le délai semble être trop rapide pour avoir lancé une production, surtout en ce moment, mais le fait que l'adaptateur secteur ne soit pas inclus me fait penser qu'il ne s'agissait pas d'un stock prêt à l'envoi chez Viasat pour autant.
Peut-être qu'ils ont pris dans le stock destiné à d'autres pays, avec des adaptateurs avec une prise non européenne, et remballé sans l'adaptateur et avec des notices en français.
Ce serait intéressant de regarder les dates sur l'appareil et l'emballage.

Le mail générique n'indique pas si le nouveau modem t'est donné (en remplacement de celui qui t'appartient et qu'ils ont indirectement briqué), ou une mise à disposition dans le cadre de l'abonnement.
Dans le second cas, j'anticipe des problèmes en cas de résiliation, sachant que l'adaptateur secteur t'appartient dans tous les cas.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: alain_p le 12 mars 2022 à 08:59:09
Le délai semble être trop rapide pour avoir lancé une production, surtout en ce moment, mais le fait que l'adaptateur secteur ne soit pas inclus me fait penser qu'il ne s'agissait pas d'un stock prêt à l'envoi chez Viasat pour autant.
Peut-être qu'ils ont pris dans le stock destiné à d'autres pays, avec des adaptateurs avec une prise non européenne, et remballé sans l'adaptateur et avec des notices en français.

Oui, tout à fait possible, car je ne vois pas où ils auraient pris les stocks autrement. Je pense qu'ils ont gratté tous les fonds de stock partout, et qu'il y a probablement des modems de différents pays. Mais je reste étonné que ce soit suffisant pour que tout soit remplacé.

Je suis curieux de voir si le nouveau sera du même modèle (surfbeam2).
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: Nico le 12 mars 2022 à 09:51:07
Au final je reste assez impressionné : Moins d'un mois pour rétablir l'accès dans toute l'Europe et des centaines de milliers de modems à expédier, dans une attaque inédite.
Sauf erreur de ma part, on ne sait pas quelle quantité de modems est en train d'être fournie aux clients en panne.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: freddy1957 le 12 mars 2022 à 11:03:24
Bonjour,

En effet ma fille étant chez Nordnet, n'a plus d'internet depuis la panne, aucun délai n'a été donné pour l'envoi d'un nouveau modem.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: alain_p le 12 mars 2022 à 11:13:06
Ah, c'est intéressant d'avoir un autre témoignage, jusqu'ici on n'avait que celui d'Obinou. La panne est arrivée le même jour, le 24 Février ? Elle avait le même modèle, surfbeam2, ou un autre ?
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: freddy1957 le 12 mars 2022 à 11:16:49
Bonjour,

Ma fille habite loin de chez moi, elle a le modem NORDNET  normal qui est fourni avec l'abonnement, je ne sais lequel que c'est. Pour la panne c'est bien la bonne date. Pour l'instant aucune amélioration en vue, d'après NORDNET il faut attendre.

Franck
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 12 mars 2022 à 13:37:16
Bonjour,
En effet ma fille étant chez Nordnet, n'a plus d'internet depuis la panne, aucun délai n'a été donné pour l'envoi d'un nouveau modem.

La communication a été faite par mail (mais attention, _pas_ le mail nordnet, un autre que j'avais donné lors de mon abonnement) et par SMS sur la carte SIM qui était jointe lors de l'abonnement et que j'avais activé il y a quelques mois , avec 100Mo dessus et 2h de communication , qui me servait pour des bricolages à base de modem GSM :-)

Il est donc possible qu'elle n'ait simplement pas reçu ces messages.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: freddy1957 le 12 mars 2022 à 13:41:40
Bonjour,

Elle a reçu un sms hier lui disant que son modem allait être remplacé, mais aucun délai de livraison ne pouvait être donné actuellement.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: Leon le 12 mars 2022 à 13:42:39
Le délai semble être trop rapide pour avoir lancé une production, surtout en ce moment, mais le fait que l'adaptateur secteur ne soit pas inclus me fait penser qu'il ne s'agissait pas d'un stock prêt à l'envoi chez Viasat pour autant.
Peut-être qu'ils ont pris dans le stock destiné à d'autres pays, avec des adaptateurs avec une prise non européenne, et remballé sans l'adaptateur et avec des notices en français.
Ce serait intéressant de regarder les dates sur l'appareil et l'emballage.

Le mail générique n'indique pas si le nouveau modem t'est donné (en remplacement de celui qui t'appartient et qu'ils ont indirectement briqué), ou une mise à disposition dans le cadre de l'abonnement.
Dans le second cas, j'anticipe des problèmes en cas de résiliation, sachant que l'adaptateur secteur t'appartient dans tous les cas.
Il est tout à fait possible qu'il y ait une procédure en atelier pour mettre à jour les modems au fur et à mesure des retours.
Genre des "points de tests" sur la carte électronique, qui serviraient à la reprogrammation du firmware, même briqué, par une méthode sécurisée.
Du coup, avec un "petit" stock, ils pourraient mettre à jour tous les modems au fur et à mesure des retours.
Ca n'est qu'une hypothèse.

Leon.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: Nico le 12 mars 2022 à 13:47:26
Je n'ai pas l'impression que le mail reçu par obinou indique un retour à réaliser.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 12 mars 2022 à 13:52:08
Je n'ai pas l'impression que le mail reçu par obinou indique un retour à réaliser.

Peut-être parce que c'est le mien. Ils se peux qu'ils aient un mail différent pour les abonnés locataires de leur matériel.

Après je pense que pour le moment c'est pas leur priorité, et j'apprécie le sens des priorités. Les détails administratifs sur les retours, les alims, .... on verra le temps venu.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: xp25 le 12 mars 2022 à 15:09:19
Comme dit par Obiniou, il ne l'a pas démonté pensant que Nordnet veuille le récupérer.

Nordnet commence par ceux qui sont proprio de leur modem, c'est bien normal vu qu'ils en sont pour leur frais.

Nordnet peut glisser un bon retour avec le nouveau modem pour récupérer l'ancien, c'est peut-être pas précisé dans le mail pour ne pas faire un pavé.

Et effectivement Leon a sans doute deviné la procédure qui suit le retour de ces modem chez Nordnet : Test, reflash et échange avec ceux qui loue.

Wait & see ;)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: alain_p le 12 mars 2022 à 15:39:29
L’argument "ils n'ont pas évoqué le retour pour ne pas faire un pavé" me laisse sceptique. S'ils ont prévu de remplacer les modems par ceux récupérés et reflashés, c'était au contraire une priorité de l'indiquer.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: xp25 le 12 mars 2022 à 17:20:55
C'est bien précisé de garder l'alimentation.

Alors pourquoi ne pas avoir précisé de jeter le modem brické en déchetterie ?

Je pense que Nordnet a souhaité faire un mail de remise en service de l'accès en tout premier lieu.

La suite étant accessoire pour le client qui reçoit le nouveau modem, il n'est plus vraiment concerné par la suite de l'histoire.

Trop d'informations en une fois (surtout dans un mail) tue l'information première qu'on voulait faire passer.

Un papelard explicatif dans le colis initiera éventuellement le retour du modem brické ou pas, c'est peut-être pour ça que rien n'est dit tout de suite, Nordnet se laisse une marge de manœuvre.

Obiniou va nous dire ça mardi/mercredi prochain ;)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: mattmatt73 le 16 mars 2022 à 12:04:23

https://www.reuters.com/world/europe/exclusive-us-spy-agency-probes-sabotage-satellite-internet-during-russian-2022-03-11/

viasat.....
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 16 mars 2022 à 12:22:17
Extrait de la seconde partie de l'article, la plus intéressante, traduit en Français :

Le responsable de Viasat a déclaré qu'une mauvaise configuration dans la "section de gestion" du réseau satellite avait permis aux pirates d'accéder à distance aux modems, les mettant hors ligne. Il a déclaré que la plupart des appareils concernés devraient être reprogrammés soit par un technicien sur place, soit dans un dépôt de réparation et que certains devraient être remplacés.

Le responsable de Viasat n'a pas été explicite sur ce à quoi la "section de gestion" du réseau faisait référence et a refusé de fournir plus de détails. KA-SAT et ses stations au sol associées, que Viasat a achetées l'an dernier à la société européenne Eutelsat, sont toujours exploitées par une filiale d'Eutelsat.

Eutelsat a renvoyé les questions à Viasat.

Viasat a engagé la société américaine de cybersécurité Mandiant, spécialisée dans le suivi des pirates informatiques parrainés par l'État, pour enquêter sur l'intrusion, selon deux personnes proches du dossier.

Les porte-parole de la NSA, de l'ANSSI et de Mandiant ont refusé de commenter.

Viasat a déclaré que les clients gouvernementaux qui achetaient des services directement auprès de l'entreprise n'étaient pas affectés par la perturbation. Le réseau KA-SAT est cependant exploité par un tiers, qui à son tour sous-traite le service par l'intermédiaire de divers distributeurs.

Au cours des dernières années, les services militaires et de sécurité ukrainiens ont acheté plusieurs systèmes de communication différents qui fonctionnent sur le réseau de Viasat, selon des contrats publiés sur ProZorro, une plateforme de transparence ukrainienne.

Un message sollicitant des commentaires de l'armée ukrainienne n'a pas été immédiatement renvoyé.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: Leon le 16 mars 2022 à 12:35:06
Donc pour la partie technique, je comprends
 * les pirates se sont "infiltrés" dans un réseau terrestre privé et sécurisé qui permet l'administration à distance des modems.
 * les pirates ont réussi à pousser une mise à jour (ou configuration) qui "brique" les modems. Sans possibilité de retour à la "config usine" par une manip utilisateur simple. Donc là aussi il ont du exploiter des failles.
 * Une partie des modems seront bel et bien "dé-briqués" via une mis à jour en atelier ou par technicien sur site

C'est le point n°1 qui m'inquiète le plus dans les systèmes modernes. Il y a 20 ans, un réseau d'administration sensible aurait été 100% isolé du reste du monde, donc inattaquable. Mais aujourd'hui, avec la volonté d'administrer tout depuis des VPN divers et variés, accessible depuis Internet, ça rend ces réseaux privés/sensibles plus vulnérables.

Leon.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 16 mars 2022 à 13:29:25
Il serait intéressant de savoir si il y a un nouveau firmware qui a été poussé vers les box ou si le firmware a simplement été effacé (avec exemple en écrivant 0000000000 sur tout la mémoire flash).

Le modem accepte-t’il un firmware non signé ? (histoire de lister toutes les erreurs qui ont pu rendre cette exploit possible)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: PeGGaaSuSS le 16 mars 2022 à 13:50:50

Article maj : https://www.reversemode.com/2022/03/satcom-terminals-under-attack-in-europe.html
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 16 mars 2022 à 14:06:00
* les pirates se sont "infiltrés" dans un réseau terrestre privé et sécurisé qui permet l'administration à distance des modems.

Je pense que les symptômes et la nature de l'attaque a permis de démontrer cette infiltration.

Aujourd'hui par contre on ne connais pas le mode opératoire d'infiltration. Un insider ? Un VPN compromis avec un malware dormant planté dans le réseau depuis des années ? Une bonne vieille attaque par mail ? Un équipement vérolé dès la livraison (Les russes sont pas mauvais en sat, est-ce qu'un équipement livré depuis des années contenais une porte dérobé ) ?

Et le timing aussi : Est-ce que le réseau était infiltré depuis des années "par opportunité"  et que cette opportunité a été utilisée à l'occasion du conflit ? Est-ce que Viasat été ciblé particulièrement en prévision de cette action militaire , et si oui est-ce que c'est fait par les services russes explicitement, ou par un groupe pro-russe indépendant ?

Bcp de questions en suspend.

Il serait intéressant de savoir si il y a un nouveau firmware qui a été poussé vers les box ou si le firmware a simplement été effacé (avec exemple en écrivant 0000000000 sur tout la mémoire flash).
Le modem accepte-t’il un firmware non signé ? (histoire de lister toutes les erreurs qui ont pu rendre cette exploit possible)

J'ai reçu un nouveau modem, je peux ptet essayer de relire la flash interne de celui qui est briqué.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 16 mars 2022 à 14:07:20
Article du journal Le Monde d'hier :

L’Ukraine reconnaît « une énorme perte de communication » après la cyberattaque contre le satellite KA-SAT

Lors d’une conférence de presse, un responsable ukrainien a, pour la première fois, donné des détails sur les conséquences de cette cyberattaque.

Le scénario de la cyberattaque contre le réseau du satellite KA-SAT, survenu au premier jour de l’invasion russe, le 24 février, commence à s’éclaircir. Mardi 15 mars, lors d’une conférence de presse, le directeur adjoint de l’agence ukrainienne chargée de la cybersécurité est revenu sur les conséquences de l’attaque.

Aux premières heures du jour de l’invasion russe en Ukraine, plusieurs milliers de modems permettant de recevoir une connexion Internet depuis le satellite KA-SAT ont ainsi soudainement cessé de fonctionner, causant à l’Etat ukrainien « une énorme perte de communication au tout début de la guerre », a reconnu Viktor Zhora, le directeur adjoint de l’Agence de cybersécurité ukrainienne.

C’est la première fois qu’un responsable ukrainien s’exprime sur les conséquences concrètes de la cyberattaque. Ces détails tendent à confirmer le lien entre celle-ci et les manœuvres militaires russes, mais aussi que l’objectif initial des pirates était bien de perturber certaines liaisons satellitaires de l’Etat ukrainien. Plusieurs médias relataient, il y a peu, que ce dernier était client de matériels permettant de communiquer en utilisant le satellite KA-SAT.

Il y a quelques jours, l’agence de presse Reuters révélait que plusieurs services de sécurité occidentaux, dont l’Agence nationale de sécurité des systèmes d’information (Anssi) française et la NSA américaine, enquêtaient sur la cyberattaque.

Cette attaque « s’inscrit dans la méthodologie russe »

Si Viktor Zhora n’a pas souhaité désigner formellement de responsable, cette attaque contre le satellite KA-SAT « s’inscrit dans la méthodologie russe, qui consiste à s’attaquer aux lignes de communication », a-t-il expliqué. La Russie tente de perturber « des communications satellites, des fournisseurs d’accès à Internet, probablement des opérateurs mobiles. Leur but est probablement d’empêcher les forces militaires ukrainiennes de communiquer de manière efficace », a poursuivi ce responsable.

Plus généralement, c’est toute la « sphère informationnelle » qui est visée par la Russie depuis le début du conflit, a relevé M. Zhora, citant notamment « le bombardement de tours de télévision » ou les tentatives de « remplacer les chaînes de télévision et de radio ukrainiennes par les leurs, dans les territoires occupés ».

Le directeur adjoint de l’autorité de cybersécurité a par ailleurs noté l’absence de cyberattaques d’ampleur menées jusqu’ici, auxquelles le pays était pourtant habitué depuis 2014. Il a cependant révélé que l’Ukraine avait subi de nombreuses offensives de moindre intensité, soit plus de trois mille attaques en déni de service depuis mi-février, des attaques qui consistent à saturer un service en ligne ou un site Web pour le rendre inaccessible.

Ses services ont aussi tout récemment découvert une troisième souche de programme malveillant destiné à détruire des données. M. Zhora a dit manquer d’éléments pour évaluer sa gravité et espérer que « ses effets ne seraient pas trop importants ». « La Russie mène une cyberguerre contre l’Ukraine depuis huit ans, et ça n’a pas cessé avec le début de l’invasion », a-t-il également lancé.

Le responsable a également confirmé la volonté de l’Ukraine de poursuivre légalement la Russie pour les cyberattaques qu’elle lance contre l’Ukraine dans le cadre de son invasion : « C’est la première guerre hybride, qui se déroule à la fois dans le cyberespace et dans l’espace conventionnel. Toutes les preuves seront utiles à la justice internationale qui poursuivra les crimes russes. Y compris les crimes dans le cyberespace. »


Source : Le Monde (https://www.lemonde.fr/pixels/article/2022/03/15/l-ukraine-reconnait-une-enorme-perte-de-communication-apres-la-cyberattaque-contre-le-satellite-ka-sat_6117632_4408996.html#xtor=AL-32280270-%5Bdefault%5D-%5Bios%5D), le 15 mars 2022 par Martin Untersinger
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 16 mars 2022 à 14:08:06
Reçu ce jour.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 16 mars 2022 à 14:13:48
J'avoue que j'hésite à le reconnecter directement sans avoir sauvegardé le firmware auparavant, desfois que les russes décident de rebalancer une seconde couche de brickage à l'avenir....

D'autre part, je sais pas trop si je vais renvoyer mon modem ou pas (il y a l'étiquette pré-payée colissimo dans la boite) : C'est pas très clair dans le courrier : "Nous vous invitons".... Mais comme il est à moi.... :-)
Et d'ailleurs, celui qui m'ont envoyé il est a moi ou pas... :-)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: Lucien le 16 mars 2022 à 14:18:39
Ca me semble clair :

Citer
Cet échange est pris en charge par Nordnet

Tu retournes le modem HS et le nouveau devient le tiens
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 16 mars 2022 à 14:22:00
Le retour du modem HS ne semble pas imposé, donc il semble possible de le garder.

Généralement c'est tourné de manière différente si ne pas renvoyer le matériel entraine une sanction financière.

Je comprends également qu'il ne vont pas re-flasher le firmware des modems retournés pour permettre de combler le manque de modem.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: dhyd le 16 mars 2022 à 14:27:05
bjr
C'est un échange. Ce mot est pourtant facile de compréhension !
Parce ce que toi, quand tu fais un échange avec quelqu'un, on te remet un objet et toi en retour, tu ne remets rien ! Cela s'appelle du vol, non ?
.
Tu dis "Je comprends également qu'il ne vont pas re-flasher le firmware des modems retournés pour permettre de combler le manque de modem."
.
Pourtant ils disent qu'ils vont les recycler donc moi, je comprends que les modems retournés par échange, vont être ré-utilisés.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: mattmatt73 le 16 mars 2022 à 14:27:38
Donc pour la partie technique, je comprends
 * les pirates se sont "infiltrés" dans un réseau terrestre privé et sécurisé qui permet l'administration à distance des modems.
 * les pirates ont réussi à pousser une mise à jour (ou configuration) qui "brique" les modems. Sans possibilité de retour à la "config usine" par une manip utilisateur simple. Donc là aussi il ont du exploiter des failles.
 * Une partie des modems seront bel et bien "dé-briqués" via une mis à jour en atelier ou par technicien sur site

C'est le point n°1 qui m'inquiète le plus dans les systèmes modernes. Il y a 20 ans, un réseau d'administration sensible aurait été 100% isolé du reste du monde, donc inattaquable. Mais aujourd'hui, avec la volonté d'administrer tout depuis des VPN divers et variés, accessible depuis Internet, ça rend ces réseaux privés/sensibles plus vulnérables.

Leon.

tu sous estimes viasat. A côté le ministère de l'éducation est une start-up en mode agile, rapide à agir
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: Lucien le 16 mars 2022 à 14:34:50
Le retour du modem HS ne semble pas imposé, donc il semble possible de le garder.
Dans ce cas, à la fin du contrat, il faudra rendre le modem Nordnet reçu.
Le transfert de propriété ne se faisant qu'avec le retour du modem HS
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: PeGGaaSuSS le 16 mars 2022 à 14:38:55
Garde ton modem, il t'appartiens, basta. Le nouveau est pris en charge, donc offert, par Nordnet (initialement, eux se retourneront contre assurances, ViaSat, la Russie...etc.).

La retour c'est uniquement parcequ'on est dans un monde d'écolo-bobo et qu'il faut faire du greenwashing. Ton modem finira dans un coin d’entrepôt jusqu'au prochain déménagement et/ou manque de place et il finira a la poubelle, peut-être moins bien recyclé que si tu t'en était chargé.

Tant que Nordnet ou ViaSat n'indique pas un besoin de retour, qui serait de toute façon a ton bon vouloir, avec une infrastructure pour gérer la remise en service... Vous inquiétez pas si c'est mis en place ils en feront la publicité de façon ultra large, puisque ça finira dans les frais de la partie défendant au procès.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: mattmatt73 le 16 mars 2022 à 15:02:32
..(initialement, eux se retourneront contre assurances, ViaSat, la Russie...etc.).

on porte plainte en utilisant le mail vladimir@gov.ru?
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: Lucien le 16 mars 2022 à 15:12:46
Garde ton modem, il t'appartiens, basta. Le nouveau est pris en charge, donc offert, par Nordnet (initialement, eux se retourneront contre assurances, ViaSat, la Russie...etc.).
On ne doit pas avoir la même lecture, c'est l'échange qui est pris en charge, pas le modem
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 16 mars 2022 à 15:33:12
Pourtant ils disent qu'ils vont les recycler donc moi, je comprends que les modems retournés par échange, vont être ré-utilisés.
Moi par le terme "recyclage", je comprends que c'est la poubelle en séparant les différents matériaux du modem.

Le terme "réparer" me semble plus approprié pour le cas où il re-flaserait les modems reçus pour les ré-utiliser.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: mattmatt73 le 16 mars 2022 à 15:35:34
Moi par le terme "recyclage", je comprends que c'est la poubelle en séparant les différents matériaux du modem.

Le terme "réparer" me semble plus approprié pour le cas où il re-flaserait les modems reçus pour les ré-utiliser.

ça fait radin de dire que tu répares ce que les clients renvoient pour les remettre dans le circuit
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: xp25 le 16 mars 2022 à 15:54:01
L’argument "ils n'ont pas évoqué le retour pour ne pas faire un pavé" me laisse sceptique. S'ils ont prévu de remplacer les modems par ceux récupérés et reflashés, c'était au contraire une priorité de l'indiquer.

Oups c'est ballot, c'est exactement ce que j'ai prédit qui est arrivé à Obiniou ::)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: dhyd le 16 mars 2022 à 16:16:23
Pour moi qui bricole pas mal, quand je dis que je recycle un appareil, ce n'est pas pour le mettre à la poubelle mais bien pour le ré utiliser.
Surtout qu'ils admettent que les stocks au niveau européen sont au plus mal, donc j'ai peine à croire qu'ils vont tous les mettre à la poubelle alors qu'il y a une pénurie en Europe.
Pourtant ils indiquent bien dans leur courrier qu'ils font un échange et ils donnent de ce fait "un bon de retour gratuit". C'est équivoque, il faut renvoyer le modem pour que cet échange soit conclu.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: xp25 le 16 mars 2022 à 16:17:29
-> L'invitation, c'est une formule de politesse en communication. <-

NordNet se charge -> On va le faire à votre place.
Nous vous invitons -> On vous à mis un bon, vous foutez le modem dans un carton le bon de retour dessus et vous le postez c'est pas pour allumer votre feu ;D
Recycler, veut dire texto -> "remettre dans le cycle"

Sans forcément le dire explicitement (il n'a pas à se justifier) c'est bien ce que cherche NordNet (j'ai déjà eu bon sur le papelard l'indiquant, je ne pense pas me tromper encore une énième fois :P), remettre les modems briqués dans le circuit pour les clients qui louent leur modem ;)

Maintenant, que NordNet en met 100,200,300 à la benne c'est pas le souci du client, il a un nouveau modem et un bon de retour dont on l'invite à se servir.

Let's go  8)


Ps: Aufait Obiniou, c'est strictement le même modèle que tu as reçu (on dirais sur ta photo) ?
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: testing5555 le 16 mars 2022 à 16:37:54
Une invitation par définition c'est une proposition, ça se refuse
Il existe plein d'autres mots pour "demander", "exiger", "fortement recommander", "prier de" ...

Si ils voulaient absolument revoir les modems ils auraient donc pu tourner leur courrier différemment.
L'objectif est probablement d'en récupérer un certain nombre à reflasher (histoire d'avoir du stock SAV qui a du fondre avec le remplacement) mais pas forcement tous.

Si le modem est loué j'imagine qu'ils peuvent réclamer l'ancien.
Si il a été acheté c'est plus compliqué (et le modem envoyé vient juste en dédommagement de leur mauvaise sécurité qui a détruit la propriété des clients)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: seb30 le 16 mars 2022 à 16:41:07
Pour moi qui bricole pas mal, quand je dis que je recycle un appareil, ce n'est pas pour le mettre à la poubelle mais bien pour le ré utiliser.

C'est du réemploi au sens de la DEEE.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: xp25 le 16 mars 2022 à 17:00:53
Une invitation par définition c'est une proposition, ça se refuse
Il existe plein d'autres mots pour "demander", "exiger", "fortement recommander", "prier de" ...

Si ils voulaient absolument revoir les modems ils auraient donc pu tourner leur courrier différemment.
L'objectif est probablement d'en récupérer un certain nombre à reflasher (histoire d'avoir du stock SAV qui a du fondre avec le remplacement) mais pas forcement tous.

Si le modem est loué j'imagine qu'ils peuvent réclamer l'ancien.
Si il a été acheté c'est plus compliqué (et le modem envoyé vient juste en dédommagement de leur mauvaise sécurité qui a détruit la propriété des clients)

C'est tous des synonymes d'invitation ;) :

https://www.larousse.fr/dictionnaires/francais/invitation/44133

Citer
Action d'inviter, de prier de venir : Lettre d'invitation.
Synonyme :

faire-part

2. Action d'inciter quelqu'un à faire quelque chose : Ce film est une invitation au voyage.
Synonymes :

appel - exhortation - incitation - invite - prière - sommation

Dans tout les cas on t'invite à le retourner

Quand tu te fais inviter - à faire profil bas - , t'as compris la requête, tu demandes pas si tu peut refuser ou non  ;D

Quand aux modems achetés ou loués, de toute façons tu en as un fonctionnel envoyé par NordNet, où est le blem ?
Tu vas pas faire le gamin à dire -> nan c'est mon mien je l'ai acheté je le garde je vous rendrais le nouveau quand je pars :'(

De plus c'est marqué "échange" dans le courrier donc tu n'as pas vraiment le choix, un échange est explicite et sans politesse sans possible détournement de son sens.

Si tu as un échange d'une PS5 briquée, tu repart pas avec la neuve et la briquée sous le bras  8)

NordNet use de trop de politesse, je vais leur faire un courrier pour qu'il renvoi un mail explicite sans détours ;)




Ps: la dernière phrase c'est de l'humour, je précise ::)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: hwti le 16 mars 2022 à 20:16:58
J'avoue que j'hésite à le reconnecter directement sans avoir sauvegardé le firmware auparavant, desfois que les russes décident de rebalancer une seconde couche de brickage à l'avenir....
Si le matériel est récent, ça doit être une NAND (voire eMMC) en BGA, pas facile de faire un backup, sauf s'il y a un accès type TFTP.
Même les NAND en TSSOP, ce n'est pas si pratique.
A moins que le firmware soit assez petit pour tenir dans une NOR en SPI (comme les UEFI des PC).
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 16 mars 2022 à 20:52:28
Pour moi qui bricole pas mal, quand je dis que je recycle un appareil, ce n'est pas pour le mettre à la poubelle mais bien pour le ré utiliser.

Quand Free annonce recycler ses DSLAM vous comprenez qu'ils seront utilisés ailleurs ?

Démontage du réseau cuivre ADSL : avec l'extension de la couverture fibre, les DSLAM deviennent de moins en moins utilisés.
Dans un des plus gros répartiteurs parisiens, dans le 11ème arrondissement, une équipe (Stéphane et Nicolas) vient de démonter la plupart des DSLAM.

Sur les 20 DSLAM présents, seuls 4 ont été conservés.
Ces opérations se font actuellement dans la France entière. Le matériel récupéré est en partie redéployé pour la maintenance, le reste est recyclé.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: hwti le 16 mars 2022 à 23:38:00
C'est l'article de Reuters qui parle de reprogrammation, mais c'est au conditionnel.
Ce n'est pas parce que les modems seraient réparables qu'ils vont le faire, le coût (logistique, réparation, reconditionnement pour réutilisation) est peut-être supérieur à celui d'un modem neuf.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: Fyr le 17 mars 2022 à 01:40:24
Le modem accepte-t’il un firmware non signé ? (histoire de lister toutes les erreurs qui ont pu rendre cette exploit possible)


Qui dit qu'il était pas signé ? Vu qu'on a très peu du monde opératoire avec les milis au milieu, le hack a du être violent et pourquoi pas compromission complète avec accès aux serveurs de mise à jour depuis lesquels ils ont pu push une version vérolée et signée.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: MoXxXoM le 17 mars 2022 à 10:48:25
Je viens de ressortir un truc de ma mémoire, la mise en service des modems était prévu pour être faite simplement par les users et c'est la ou je me demande si y'avais pas un trou dans la raquette, la séquence de provisionning c'était:
L'étape 3 est importante car le modem est quand même connecté, et les identifiants doivent être rentré dans un browser a l'url suivante http://selfactivation.skylogicnet.com:8080/ (http://selfactivation.skylogicnet.com:8080/), et la si je devais foutre la m**** je creuserai la pour voir à quoi exactement on peut accéder quand le modem est connecté à ce réseau (il récupère une adresse en 10.0.0.0/8 à ce moment la de mémoire).
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 17 mars 2022 à 11:00:28
Je vais décirer le process pour les box ADSL de Bouygues Telecom qui se connectaient sur un réseau PPPoE (la collecte Orange dans le passé).

Les box ont un login / mot de passe générique dans le firmware qui leur permet d'entrer dans un "walled garden".

Ce "walled garden" permet a la box de contacter l'ACS (Auto Configuration Server). L'ACS va mettre à jour et provisionner la box qui redémarre avec son login et son mot de passe personnel et se connecte au réseau Internet.

Pour avoir déjà été coincé dans le "walled garden" avec une box non provisionnée dans l'ACS, on n'a accès à strictement rien avec l'IP privée envoyée.

Bref, un dispositif "unprovisioned" sécurisé est tout à fait possible.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: MoXxXoM le 17 mars 2022 à 11:22:53
Je suis tout a fait d'accord c'est tout à faire possible de le faire de manière sécurisé. En revanche je suis a peu près certain que Skylogic n'a pas vraiment les ressources d'un gros (même moyen) opérateur comme Bouygues, en plus d'avoir une grosse infra à gérer. Infra hétérogène de surcroît, par exemple Konnect est sur une plateforme Hughes, ils ont aussi du Newtech qui traine, Konnect VHTS à préparer en plus de leur backbone à gérer (ils ont une infra MPLS)... bref pas facile de s'occuper de tout ça avec des ressources limitées. Ajoutons que le spatial en Europe (sans pour autant dédouaner Viasat) avait jusqu'à pas si longtemps pas vraiment de considération pour la cyber (et même récemment Thales Alenia Space s'est retrouvé avec le code de SpaceOps (https://artes.esa.int/projects/spaceops) dans la nature (https://www.zataz.com/des-donnees-de-thales-diffusees-par-les-pirates-lockbit-2-0/)).
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 17 mars 2022 à 13:17:26
[/list]L'étape 3 est importante car le modem est quand même connecté, et les identifiants doivent être rentré dans un browser a l'url suivante http://selfactivation.skylogicnet.com:8080/ (http://selfactivation.skylogicnet.com:8080/), et la si je devais foutre la m**** je creuserai la pour voir à quoi exactement on peut accéder quand le modem est connecté à ce réseau (il récupère une adresse en 10.0.0.0/8 à ce moment la de mémoire).

Je confirme ce fait.
Mais bon, on fait beaucoup d'hypothèses, ici , sur la méthode d'intrusion. Quelque soit la méthode utilisé et quelque soit la négligence de viasat sur la sécurité de son réseau, on reste sur un service grand public , avec du matériel du même accabit (même pour les version "pro").
La preuve d'autres services sur le même sat n'ont pas été touchés , cf les articles passés ici même. Même si dans le passé j'ai trouvé le service cher pour ce que c'était (les premiers abos que j'ai eu, chez Connexion Verte puis Europasat / BigBLU , c'était 90€ / mois pour 25Go de data avec la FAP qui s'activait après 250Mo (!) downloadé en moins de quelques minute), on reste sur du grand public. 

Attendons, j'espère un jour, le post-mortem.

Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 17 mars 2022 à 14:03:07
c'était 90€ / mois pour 25Go de data avec la FAP qui s'activait après 250Mo (!) downloadé en moins de quelques minute)
C'esrt quoi la FAP ? Fair use ?

Si tu as 25 Go de data, le fair use, c'est après 25 GO, pas 250 Mo, non ?
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 17 mars 2022 à 14:51:00
C'esrt quoi la FAP ? Fair use ?
Si tu as 25 Go de data, le fair use, c'est après 25 GO, pas 250 Mo, non ?

FAP = Fair Use Policy.

Ce fut un grand débat à l'époque de la mise en place du ka-sat, car les règles n'ont _jamais_ été claires pour tout le monde.
Typiquement, les règles données aux abonnés en UK étaient plus précises que les règles de FAP françaises, sans pour autant spécifier les limites exactes. elles disaient disaient simplement, en gros, "en cas d'abus, on s'autorise à réduire le débit", sans rien préciser d'autre.
On est pas _du tout_ dans le monde du mobile.

Donc à l'époque, il y a eu des threads de forums complets de gens qui comparaient leur trafic pour essayer de comprendre ces fameuses règles, qui en plus changeaient de temps en temps sans qu'on en soit notifié en tant que clients (et oui, c'est la magie des sociétés européennes personne ne sais ce qui s'applique, et qui va aller au tribunal pour assigner.... qui ? Le FAI ? Viasat ? Eutelsat ? )

Donc en gros, par essais et erreurs, autour de 2013 il y avait 3 "classes" d'usagers :
1) Prioritaire :
    Dans l'enveloppe du forfait (donc moi 25Go, puis passé à 50 plus tard) , usage "familial" , cad web/mail : Plein de petites connections courtes, pas de trafic "continu".
       (D'ailleurs dans la doc il y avait marqué de désactiver les vidéo, ne pas télécharger, ne pas faire de mises à jour)

2) Hors-forfait :
    Dépassement du forfait. Débit limité à 250kbps (et plus tard 1Mbps) , mais les mêmes règles de type de trafic s'appliquent.

3) High-bandwidth user:
    Lorsque en 1) ou 2) on lançais un téléchargement considéré comme "abusif" , comprendre "long" . C'est à dire que le débit du modem était soutenu à , par exemple, 22Mbps dans mon cas, ou 250kbps dans le cas 2) , pendant un temps qui a été très variable. Ça peux être une vidéo, mais aussi , et ça a été très compliqué à comprendre pour les gens, les mises à jours des appareils. Marche aussi en SCP, rsync, .... et bien sur en UDP aussi.
    Alors là, tu es "puni" de ce comportement abusif, et on te colle dans cette classe pendant 7 jours.
    Dans cette classe , non seulement ton débit est réduit à 250kbp mais en plus , tu passes *après* tout le monde , et tes paquets sont droppé en priorité. En pratique, en plus des 700ms de ping normaux, tu te rajoutais en moyenne  300ms et des pertes allant jusqu'à 30%. Bref, complètement inutilisable.
    Et TANT que ton modem était allumé, le "trafic de fond" faisait que tu n'en sortait jamais sauf.... à éteindre le modem pendant 7 jours (on est bien d'accord, *même* quand tu n'avais pas consommé ton forfait).

Toute ces règles étaient relâchés durant la "nuit" , mais cette nuit allait de 1h à 5h en France. Cette "relâche" se traduisais par le fait que dans cette période de temps, tu ne pouvais pas passer en classe 3, quelque soit ton type de traffic. Du coup , le débit s'effondrait (mais au moins tu pouvais lancer les maj).
Attention à ne PAS dépasser la limite des 5h du mat, sinon -> classe 3. Beaucoup de gens plaçaient un minuteur qui coupait l'alim du modem à 4h55....


Ces règles sont entrés en vigueur vers 2013, j'ai lâché l'affaire en 2015.
En 2019 j'ai repris un abonnement chez Europasat , car ils m'avaient promis que le FAP n'existait plus.
C'était faux , même si les limites avaient effectivement bougées à la hausse. Et c'était encore cher , 80€/mois je crois.
J'ai tenu 3 mois et j'ai résilié, en payant les pénalités , près de 400€.

J'ai pris nordnet en 2021 après une discussion avec un autre abonné et un essai chez lui.
Là, par contre, outre le prix qui était revenu raisonnable, les FAP avaient effectivement disparues. Je ne sais pas si c'est global ou si c'est spécifique à nordnet : Le débit baisse effectivement après la fin du forfait, mais pas avant , donc là c'est déjà acceptable , d'autant qu'on peut suivre sa conso sur le site.

J'ai jamais pris le temps de qualifier ça , mais il faut savoir que le modem fait office de "proxy tcp" , cad qu'il *réponds* aux SYN par des SYN,ACK à toute connexion TCP quelque soit le port ou la destination. C'est intéressant à regarder sur un wireshark , mais ça perturbe notamment certaines implémentation SSL et/ou des VPN. On y arrive mais c'est pas simple , wireguard a bien aidé sur le coup.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: MoXxXoM le 17 mars 2022 à 15:20:15
J'ai jamais pris le temps de qualifier ça , mais il faut savoir que le modem fait office de "proxy tcp" , cad qu'il *réponds* aux SYN par des SYN,ACK à toute connexion TCP quelque soit le port ou la destination. C'est intéressant à regarder sur un wireshark , mais ça perturbe notamment certaines implémentation SSL et/ou des VPN. On y arrive mais c'est pas simple , wireguard a bien aidé sur le coup.


L'immense majorité des solutions d'accès GEO grand publique ont ce genre de truc intégré et non débrayable. Selon les constructeurs ont trouve l'expression "TCP accelerator" ou PEP ("Performance Enhancement Proxy"), le modem spoofe toutes les connexions TCP et établi un genre de tunnel avec un serveur coté station sol, l'idée c'est d'essayer de limiter les effets de la latence sur la fenêtre TCP. Mais ça reste très moyen comme approche... surtout avec Quic et des solutions qui vieillissent mal, souvent sans IPv6. Viasat a sa propre implémentation de ce truc, ils appellent ça xPEP quand ils vendent dans des boitiers séparés. Un des principaux fournisseurs dans le monde du sat c'est XipLink (http://www.xiplink.com/vsat.html (http://www.xiplink.com/vsat.html)). C'est aussi utilisé en téléphonie mobile pour shaper la fenêtre TCP de manière a contrôler le débit (Du genre ça https://owmobility.com/traffic-management/mobile-data-optimization/tcp-optimization (https://owmobility.com/traffic-management/mobile-data-optimization/tcp-optimization)) en dehors de la couche radio.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 17 mars 2022 à 19:02:38
Je suis horrifié sur la Fair Use Policy : de telles politiques, si elles sont conforme au régalement Européen sur la neutralité (pas sur) doivent être données aux clients et si il y a un fair use sur le mois plus un second far use sur une durée plus courte, cela doit être marqué en gros lors de la souscription de l'abonnement.

Pour le "proxy tcp" ,qui réponds aux SYN à la place du serveur, je ne suis pas sur que cela soit bien autorisé. On est bien d'accord qu'il fait proxy pour tous les paquets et qu'il n'y pas de retransmission de paquet visible dans ce cas là, vu qu'entre la box et ton PC tu ne perd pas de paquet. L'idée était surement d'augmenter la Rwin (coucou les 64 Ko de Windows XP qui est une catastrophe avec une connexion sat sans proxy). Avec les systèmes modernes (tous les systèmes depuis 2005), qui montent facilement à 6 Mo de Rwin, cela ne semble plus nécessaire.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 17 mars 2022 à 19:39:36
Je suis horrifié sur la Fair Use Policy

Et moi donc :-)

Citer
de telles politiques, si elles sont conforme au régalement Européen sur la neutralité (pas sur) doivent être données aux clients et si il y a un fair use sur le mois plus un second far use sur une durée plus courte, cela doit être marqué en gros lors de la souscription de l'abonnement.

Je pense qu'ils justifiaient ça par un problème de "gestion technique de réseau" et non d'une volonté commerciale de te vendre une "fast-lane" , vu qu'en tant que particulier la seule chose que tu pouvais acheter c'était un "booster" de 5go (pour 30€....) Mais ça ne réglait aucunement le comportement ci-dessus !
Il faut bien voir que par nature le Ka-Sat était horriblement sous-dimensionné par rapport à la demande - chaque faisceau ne pouvait fournir que 450Mbps à tous les clients de sa zone (j'avais calculé ça à l'époque). C'est pour ça qu'à un moment ils avaient arrêté de commercialisé sur certaines zone en continuant sur d'autre. C'était l'inconvénient d'avoir envoyé un engin avec une répartition fixé à l'avance des faisceaux (ptet qu'on savait pas faire mieux à l'époque)



Citer
Pour le "proxy tcp" ,qui réponds aux SYN à la place du serveur, je ne suis pas sur que cela soit bien autorisé. On est bien d'accord qu'il fait proxy pour tous les paquets et qu'il n'y pas de retransmission de paquet visible dans ce cas là, vu qu'entre la box et ton PC tu ne perd pas de paquet. L'idée était sûrement d'augmenter la Rwin (coucou les 64 Ko de Windows XP qui est une catastrophe avec une connexion sat sans proxy). Avec les systèmes modernes (tous les systèmes depuis 2005), qui montent facilement à 6 Mo de Rwin, cela ne semble plus nécessaire.
Là encore je me demande si ils peuvent pas invoquer la raison technique de gestion de réseau : Tout le monde comprends bien que les 700ms de latence sont inhérent à cette technologie et que ce "proxy" est un contournement.
Je pense que ça fait plus de mal que de bien, tout en comprenant bien que du point de vue de Viasat la clientèle visée est .... très limité en informatique, et se contente de web + mail au mieux sous windows Les pubs à l'époque montraient des agriculteurs qui remplissaient des formulaires sous IE6, et je pense qu'ils voyaient vraiment leurs clientèle ainsi.
Je ne suis pas sur que les usages actuels notamment en télétravail  (visio, ssh, rdp/tse, downloads divers & variés, video,...) n'ai été l'ombre d'une possibilité dans l'esprit des commerciaux et des architectes du système.
En pratique le problème est que les gens qui ont pris ce système en tant que particulier c'était justement .... pour l'utiliser à fond là où l'ADSL faisait défaut - donc pas sur la partie web + mail justement... D'où les problèmes de congestion qu'ils ont eu très vite (fin 2013) après la mise en service du sat sur certains faisceaux.
(Il y en a un juste pour la corse, lui n'était pas touché...)


Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 17 mars 2022 à 19:58:07
Bon alors j'ai bien lu vos commentaire sur le démontage des box, et j'en ai pas tenu compte  ;D

J'ai démonté l'ancien modem, et j'ai utilisé les photos & documentation sur le blog donné ici : https://rjmendez.github.io/ .
J'ai trouvé les broches du port série et.... rien du tout.

Du coup , soyons fou, j'ai aussi démonté le nouveau envoyé par nordnet. Il a l'air neuf, et plus récent. Toute le PCB était encapsulé dans une cage en métal.
Sur le port série, là part contre la réponse a été immédiate:

UT_BOOT v1.2.4 (Build time: Nov 24 2010 - 10:25:58) (Based on U-Boot 1.1.1)
CN3010_LF_P1 board revision major:1, minor:0, serial #: unknown
OCTEON CN5020-SCP pass 1.1, Core clock: 300 MHz, DDR clock: 300 MHz (600 Mhz data rate)
DRAM:  256 MB
Clearing DRAM...... done
Flash: 32 MB
BIST check passed.
Net:   octeth0, octeth1, octeth2
Hit any key to stop autoboot:  0
Starting RAM Test...
Pattern AAAAAAAA  Writing...  Reading...  Pass
Pattern 55555555  Writing...  Reading...  Pass
RAM Test = Pass
Booting Software Image 0
argv[2]: coremask=3
argv[3]: console=NULL
argv[4]: mem=268435456
Software CRC Check = Pass
Uncompressing 0xd2671e@0xaa00014 to 0x1068ad8@0xc600000
ELF file is 64 bit
Attempting to allocate memory for ELF segment: addr: 0xffffffff81100000 (adjusted to: 0x0000000001100000), size 0x10a76d8
Allocated memory for ELF segment: addr: 0xffffffff81100000, size 0x10a76d8
Processing PHDR 0
  Loading 1064288 bytes at ffffffff81100000
  Clearing 43450 bytes at ffffffff82164288
## Loading Linux kernel with entry point: 0xffffffff815cc000 ...
Bootloader: Done loading app on coremask: 0x3

Ma conclusion c'est que l'attaque a dû écraser la flash y compris le bootloader , impossible de reflasher sans sonde JTAG.

Ce processeur contient 2 "bloc" JTAG , selon une doc que j'ai pu trouver : Un bloc "EJTAG" et un bloc JTAG normal.
Reste à savoir comment (et si) les broches sont câblés sur le connecteur latéral.

Je n'ai pas l'outillage pour démonter , remonter & reflasher une telle flash de 256Mbits en TSOP56 - mon matériel se limite aux flash séries et à un TL866A.
J'essaierais de trouver les broches jtag grâce au schéma , mais je sais qu'il existe des fuses donc si ça se trouve le JTAG n'est plus actif.

D'autre part j'ai vu que sur le connecteur d'autres brochent partaient en direction de la grosse puce centrale marqué "viasat" et d'un FPGA.
Si ça se trouve la procédure de reflash est largement plus complexe , et on ne pourra rien faire d'intéressant.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: PeGGaaSuSS le 17 mars 2022 à 20:58:27
Je viens de démonter le mien. Visiblement c'est presque deux machines en une.

D'un côté tu a effectivement le FPGA Altera Cyclone III avec 4Mb de SRAM ; de l'autre un MIPS64 de type OCTEON Plus CN5020 avec 2 x 64Mb de DDR2 et 256Mb de NOR.

Je voit rien d'autre en stockage "mort" ou vif ; si tout était sur la NOR elle a peut-être tout bêtement été effacer ? Faudrait faire un swap pour voir si ça reboot mais ça implique de risquer un modem fonctionnel.

Visiblement le système aurait du être protéger par son U-Boot (https://connect.ed-diamond.com/GNU-Linux-Magazine/glmf-221/u-boot-a-la-decouverte-du-demarrage-verifie)

Sinon un autre gars avait fait mumuse par ici : https://twitter.com/DamianKBast/status/1343736681262964737
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 17 mars 2022 à 22:42:20
Je viens de démonter le mien. Visiblement c'est presque deux machines en une.
D'un côté tu a effectivement le FPGA Altera Cyclone III avec 4Mb de SRAM ; de l'autre un MIPS64 de type OCTEON Plus CN5020 avec 2 x 64Mb de DDR2 et 256Mb de NOR.

Et la grosse puce au centre marqué viasat :-)

Citer
Je voit rien d'autre en stockage "mort" ou vif ; si tout était sur la NOR elle a peut-être tout bêtement été effacer ? Faudrait faire un swap pour voir si ça reboot mais ça implique de risquer un modem fonctionnel.
Je viens de lire la datasheet de la puce.
Il y a une commande "chip erase" qui .... porte bien son nom :-/
Et aussi la possibilité de verrouiller des secteurs qui deviennent ensuite inaltérable hormis en appliquant une tension spécifique sur une des broches. Ces secteurs sont par contre verrouillés à la demande, par programmation => Si les secteurs de boot avaient profité de cette possibilité, on aurait pas eu cette situation, car le u-boot serait resté fonctionnel...
(J'ai vu qu'il y avait un bouton, aussi, donc ptet des choses à faire avec)

Fatal oversight...

Citer
Visiblement le système aurait du être protéger par son U-Boot (https://connect.ed-diamond.com/GNU-Linux-Magazine/glmf-221/u-boot-a-la-decouverte-du-demarrage-verifie)
Attention, u-boot n'a pas forcément de système de secureboot, c'est même assez récent. En 2011 ça existant sans doute pas...

Citer
Sinon un autre gars avait fait mumuse par ici : https://twitter.com/DamianKBast/status/1343736681262964737
Dans uboot si tu places la variable "timeout" à 0, il n'attends pas de touche et continue directement. C'est sans doute ce qui est fait ici, et c'est ce qu'a modifié dans la flash le gars du blog pour interrompre le boot.
C'est classique comme façon de faire.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: hwti le 18 mars 2022 à 00:13:06
Il y a les connecteurs J9, J21 et J22, qui pourraient être pour la programmation.
Mais 10 broches, ce n'est pas standard pour du JTAG MIPS.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: MoXxXoM le 18 mars 2022 à 09:56:34
Pour le "proxy tcp" ,qui réponds aux SYN à la place du serveur, je ne suis pas sur que cela soit bien autorisé. On est bien d'accord qu'il fait proxy pour tous les paquets et qu'il n'y pas de retransmission de paquet visible dans ce cas là, vu qu'entre la box et ton PC tu ne perd pas de paquet. L'idée était surement d'augmenter la Rwin (coucou les 64 Ko de Windows XP qui est une catastrophe avec une connexion sat sans proxy). Avec les systèmes modernes (tous les systèmes depuis 2005), qui montent facilement à 6 Mo de Rwin, cela ne semble plus nécessaire.


Avec presque 700ms de latence effective, ça reste pas une trop mauvaise idée (sur le papier) de vouloir augmenter la fenêtre plus vite que les algos de congestion, même modernes, qui vont avoir du mal à monter à des débit corrects dans un temps restreint.


Pour tout le bien que j'en pense il y a des gens payés avec de l'argent public qui "réfléchissent" sur ça au CNES https://datatracker.ietf.org/meeting/100/materials/slides-100-iccrg-mptcp-and-bbr-performance-over-satcom-links-00 (https://datatracker.ietf.org/meeting/100/materials/slides-100-iccrg-mptcp-and-bbr-performance-over-satcom-links-00), l'ESA finance ce genre de chose depuis longtemps et continue de le faire (https://artes.esa.int/support-quic-standardisation-artes-fpe-1d019 (https://artes.esa.int/support-quic-standardisation-artes-fpe-1d019)) sauf que les boites qui participent à ces projets ont 0 compétence pour faire un truc propre qui devrait passer via l'IETF ou l'IEEE pour ouvrir la porte à un vrai standard pour faire ça.


D'ailleurs de toutes ces études il ne sort jamais rien d'autre que des slides, les études d'année en année se bornant à regarder comment fonctionne les nouveautés (QUIC, BBR) sur un lien GEO. Et les éditeurs de PEP sont majoritairement hors ESA (memotech & xiplink sont canadiens je crois), donc c'est ce mode de fonctionnement de l'ESA que j'adore, un thème super intéressant ou le spatial vient avec sa contrainte spécifique et fait juste n'importe quoi et il n'en ressort rien de vendable à qui que ce soit. Globalement tout ce qui ressemble à du réseau de près ou de loins dans les études ESA c'est WTF les résultats en général, les études mêlant 5G et satellite atteignant pour certaine le firmament de la connerie. 
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: PeGGaaSuSS le 18 mars 2022 à 11:57:35
Tiens maintenant je me demande quel techno le CNES utilise pour faire des transmissions vidéos en interne - je sais même pas sur quel oiseau ils envoient mais en tout cas c'est nettement plus puissant que sur KA-SAT, grosso merdo même avec leur parano habituelle il valait mieux pas se mettre trop près de la parabole quand elle émettait.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: MoXxXoM le 18 mars 2022 à 12:09:41
Surement des modulateurs standard DVB-S2, ça vaut plus très cher maintenant et ça juste marche.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: Harvester le 18 mars 2022 à 19:58:01
Il y a également eu une tentative d'utiliser QUIC pour améliorer le fonctionnement des PEP, en plus d'offrir du chiffrement de bout en bout :

https://github.com/ssloxford/qpep

Lien vers le papier académique : https://ora.ox.ac.uk/objects/uuid:e88a351a-1036-445f-b79d-3d953fc32804
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: mattmatt73 le 21 mars 2022 à 10:51:50
Surement des modulateurs standard DVB-S2, ça vaut plus très cher maintenant et ça juste marche.

exact et souvent sur eutelsat 7 ou 10 pour l'europe.
eutelsat 5 ou 8W quand il faut relier Kourou.

Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: nicobru le 21 mars 2022 à 11:13:20
Bonjour, je viens de tomber sur ce post tres interressant. Je suis chez Skydsl et mon modem est hs depuis le 26/02. Aucune com de l'opérateur, service client mort. J'ai juste reçu un mail début mars me disant que leur service client ne répondait plus aux demandes. Pas d'autre explication. Ils sont totalement injoignables !!! et pas beaucoup d'explications quand on lance des recherches sur internet, blackout total ou presque.
Est-ce que quelqu'un est chez skydsl et a plus d'infos sur comment ils comptent régler le probleme et s'ils sont encore vivants...
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 21 mars 2022 à 12:00:52
Bonjour nicobru,

Peut-tu nous confirmer que tu nous indiquer ton modèle de modem et son état au niveau des voyants ?.

Il était en ligne, la nuit du 23 au 24 février dernier ?

Il a fonctionné le 24 et 25 février ?

Concernant SkyDSL, ils ont arrêtés la facturation ?

Pas de données 4G proposée comme NordNet ?
Là Nordnet a offert le mois de mars et a crédité de 45Go une carte SIM qui était associé à l'abonnement. Du point de vue de Nordnet ils peuvent guère faire grand chose d'autre, donc je les en remercie (même si ça me sert à rien).
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 21 mars 2022 à 13:46:24
Bonjour, je viens de tomber sur ce post tres interressant. Je suis chez Skydsl et mon modem est hs depuis le 26/02. Aucune com de l'opérateur, service client mort. J'ai juste reçu un mail début mars me disant que leur service client ne répondait plus aux demandes. Pas d'autre explication. Ils sont totalement injoignables !!! et pas beaucoup d'explications quand on lance des recherches sur internet, blackout total ou presque.
Est-ce que quelqu'un est chez skydsl et a plus d'infos sur comment ils comptent régler le probleme et s'ils sont encore vivants...

Salut,

Si les 4 voyants sont très faiblement bleus et que rien d'autre ne se passe, c'est que ton modem est effectivement briqué.

La seule solution c'est le remplacement par SkyDSL.
De mémoire cette société est l'une des dernières survivante de l'époque du lancement du Ka-sat. Je ne suis pas bien sur qu'il reste quelqu'un dans les locaux, ni que cette société ait les moyens humais pour faire face à cette crise comme l'a fait Nordnet.
Si tu n'arrives pas a prendre contact avec eux, blocage des prélèvements et migration chez un autre fournisseur , voire si t'a le courage passer sur konnect.
En théorie l'ancien fournisseur peux bloquer la migration du modem (via sa mac) mais bon, là....

Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 21 mars 2022 à 13:50:24
A noter que NordNet semble avoir reçu l'appui d'Orange, sa maison mère sur cet incident.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 21 mars 2022 à 15:11:44
Pour info j'ai rebranché le nouveau modem ce week-end.
Procédure nickel, mise à jour dès le démarrage (avant même la re-inscription) , et ensuite procédure normale.

Les premiers tests sont cool : entre 20 et 23Mbps flat, 20Go de téléchargé sans baisse de débit. On voit que je suis tout seul sur le faisceau, me vla retourné en 2012.
Ca change de la 4G qui plafonne à 6Mbps en ce moment (vent d'autan ?)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 21 mars 2022 à 15:21:34
Ce que je trouve horrible avec la 4G, c'est que si on lance des transferts Filezilla SFTP (FTP over SSH) sur plusieurs connexions en parallèle, les transferts peuvent se retrouver en échecs quand on a un débit qui varie comme moi autour de 1 à 4  Mb/s.

Sans fibre depuis deux semaines, je me suis fais avoir au début. En limitant à une connexion TCP, cela passe sans problème.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: nicobru le 21 mars 2022 à 19:07:44
Merci pour vos réponses, j'ai un modem viasat, pas de voyants mais un cercle de led qui change de couleur suivant l'état. Il reste blanc (initialisation ou demarrage). Je ne peux pas atteindre le firmware (192.168.....). La wifi du modem est égalemnt HS.
Concernant Skydsl, l'offre était plutot sympa car illimité, streaming autorisé etc. ça fonctionnait plutot bien pour du satellite. Je pense que je vais bloquer les paiements. Le soucis est que je n'ai pas fini de payer le matériel et que je suis potentiellemnt redevable du restant meme si je les quitte. En meme temps je peux faire le mort comme eux ;). C'est une offre sans engagement de durée, je peux donc résilier quand je veux.
J'ai encore essayé d'appeler ce matin, j'ai eu leur musique pendant 1h28 avant de craquer et raccrocher...c'est surtout énervant de n'avoir aucun contacte, aucune réponses aux mails et appels.
Sinon je penche pour starlink dand le future
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: PeGGaaSuSS le 21 mars 2022 à 20:00:21
C'est quelle référence ton modem ?
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 21 mars 2022 à 21:13:19
Merci pour vos réponses, j'ai un modem viasat, pas de voyants mais un cercle de led qui change de couleur suivant l'état. Il reste blanc (initialisation ou demarrage). Je ne peux pas atteindre le firmware (192.168.....). La wifi du modem est égalemnt HS.

On veux bien une photo du matériel, car là je ne vois pas. C'est ptet un nouveau modèle.
En tous cas ça ressemble au même souci : figé au démarrage, pas d'accès au firmware. Est-ce que le réseau "monte" (leds au niveau réseau) lorsque tu le branches à un PC ?

Citer
Concernant Skydsl, l'offre était plutot sympa car illimité, streaming autorisé etc. ça fonctionnait plutot bien pour du satellite. Je pense que je vais bloquer les paiements. Le soucis est que je n'ai pas fini de payer le matériel et que je suis potentiellemnt redevable du restant meme si je les quitte. En meme temps je peux faire le mort comme eux ;). C'est une offre sans engagement de durée, je peux donc résilier quand je veux.
Les abo skyDSL à une époque promettaient de l'illimité, mais c'était les pire en terme de FAP : C'était de l'illimité inutilisable.
Bien sur ca a ptet changé en 10 ans.

Sinon tu peux aussi dire que EUX , ils ont endommagé ton matériel... (bon, c'est pas vraiment eux, mais bon c'est pas toi non plus).

Citer
J'ai encore essayé d'appeler ce matin, j'ai eu leur musique pendant 1h28 avant de craquer et raccrocher...c'est surtout énervant de n'avoir aucun contacte, aucune réponses aux mails et appels. 

C'est sur. A mon avis, ils survivront pas à cet épisode.

Citer
Sinon je penche pour starlink dans le future
J'hésite aussi mais bon 500€ pour du matos inutilisable ailleurs et une place dans la file d'attente ça me parait cher. D'autre part, j'aime pas du tout la "logique" qui consiste à
baser le service sur un renouvellement constant des sats : envoyer des fusés même réutilisable c'est pas anodin, et ça va a l'encontre de mes principes, je ne souhaite pas soutenir ce système par mon abonnement.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: nicobru le 22 mars 2022 à 08:29:50
C'est le modelm routeur RM5111 de la série surfbeam 2+ de viasat.
Je n'ai pas trouvé d'offre en illimité chez les autres fournisseurs....sauf chez mister Musk malheureusement.
Je me servais de skydsl pour regarder netflix, Prime ou canal en streaming quand mon forfait 4G arrivait à son volume maxi. Depuis j'ai pris un forfait illimité chez Orange (chez qui j'ai aussi l'adsl tres tres bas débit et la télé par satellite) du coup plus besoin de satellite. Mais j'aimais bien cette solution de secours en cas de mauvaise 4G (je précise que je suis dans une zone non élligible à la box 4G, il n'y a que Orange qui passe en téléphonie).
Le cable de la fibre passe à 500m de chez moi mais il n'y a que 5 familles sur cette route, donc pas sur qu'ils vont tirer des cables pour si peu d'abonnements...
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: PeGGaaSuSS le 22 mars 2022 à 14:24:19
Évolution / modèle plus puissant (avec un routeur) mais c'est intéressant, ça veut dire que l'attaque a réussi à briquer deux types de modems.

https://www.internetparsatellite.be/2018/01/internet-par-satellite-airsat-presente-son-nouveau-modem-wifi-surfbeam-2/
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: nicobru le 22 mars 2022 à 18:03:31
c'est bien celui là.
Du coup faudrait que je trouve un modem compatible Ka-SAT et rentrer mes identifiants pour ça refonctionne, si j'ai bien compris. ça m'étonnerais beaucoup que Skydsl m'en fournisse un de remplacement vu l'ambiance actuelle chez eux.
Mais bon je pense qu'on n'est pas à l'abris d'une nouvelle attaque...
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 22 mars 2022 à 20:21:45
c'est bien celui là.
Du coup faudrait que je trouve un modem compatible Ka-SAT et rentrer mes identifiants pour ça refonctionne, si j'ai bien compris. ça m'étonnerais beaucoup que Skydsl m'en fournisse un de remplacement vu l'ambiance actuelle chez eux.
Mais bon je pense qu'on n'est pas à l'abris d'une nouvelle attaque...

C'est ce qui m’inquiète un peu aussi. Du coup j'ai mis le modem sur une prise commandée , et je l’éteins la nuit & quand je m'en sert pas . Avant c'était pour éviter le FAP, maintenant c'est pour éviter les russes  ;D
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 22 mars 2022 à 20:35:34
Je pense que les mesures de sécurité ont été prises pour qu'un tel scénario ne puisse pas se reproduire.

Il y un avant et un après. Je pense que cela va entraîner des changements au-delà de Ka-sat.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: petrus le 22 mars 2022 à 22:19:56
Évolution / modèle plus puissant (avec un routeur) mais c'est intéressant, ça veut dire que l'attaque a réussi à briquer deux types de modems.

Les modem "entreprise" avec mode bridge ont été affectés également. Cela laisse présumer que le hack ne vient pas d'une faille d'un modèle de modem mais plutôt d'une compromission du serveur de provisionning.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: MoXxXoM le 23 mars 2022 à 10:25:09
Il y un avant et un après. Je pense que cela va entraîner des changements au-delà de Ka-sat.


Oui après la ou ça devient plus important, la comme ailleurs, c'est qu'avant les satellites était globalement assez peu vulnérable car la TMTC (Telemesure/telecommande) des satcom géo civil était en circuit fermé connecté à rien sur un spot dédié relativement étroit et en plus avec pas grand chose de configurable. Le gros de l'activité "illégale" c'était du squat de transpondeur libre, la sur ka-sat c'est uniquement le segment sol utilisateur qui a été impacté, avec l'arrivé des "Software Defined Satellites" comme les constructeurs appellent ça (Boeing 702x, Airbus DS OneSat, Thales Alenia Space "Space Inspire" et surement Viasat avec leur propre payloads) ça devient plus compliqué car la TMTC devient beaucoup plus intéressante pour les attaquants, si on ajoute à cela que le code du soft de pilotage coté sol a déjà leaké chez Thales la cyber c'est clairement un sujet qui est chaud bouillant pour les acteurs concernés.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: thenico le 23 mars 2022 à 11:30:39
Il existe peut-être un autre facteur: le télétravail pendant les confinements COVID.
Le premier confinement a été difficile au niveau des VPN avec des deployements rapides.
Est-ce qu'il n'y aurait pas eu des erreurs de configurations exposant des réseaux jusqu'ici isolé ?
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 24 mars 2022 à 08:39:01
Amélie Charnay, la journaliste spécialisé dans les telecom de 01net a été invitée sur le plateau de 01 TV pour parler de l'affaire Ka-Sat.

Extrait du 01 Tv du 17 mars 2022 :

https://lafibre.info/videos/securite/202203_01tv_amelie_charnay_box_ka-sat_hs_apres_une_attaque_russe.webm
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: PhilippeMarques le 24 mars 2022 à 12:51:26
Marrant !
Du coup je vais pouvoir essayer, j'ai rien à perdre :-)
Tu vas pouvoir t'amuser :

drwxr-xr-x 5 rjmendez rjmendez 4.0K Sep  4 01:33 ..
-rwxr-xr-x 1 rjmendez rjmendez  902 Nov 29  2014 Client_privKey.pem
-rwxr-xr-x 1 rjmendez rjmendez 2.5K Oct  7  2014 Client_Cert.pem
-rwxr-xr-x 1 rjmendez rjmendez 1.4K Oct  7  2014 TrustList.pem
-rwxr-xr-x 1 rjmendez rjmendez 1.4K Jun 18  2010 NAP_Cert.pem
drwxr-xr-x 2 rjmendez rjmendez 4.0K Dec 31  2009 .

Tu peux avoir un dump au JTAG ? Cela sent le soucis avant U-Boot.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 24 mars 2022 à 19:39:43
Tu vas pouvoir t'amuser :

drwxr-xr-x 5 rjmendez rjmendez 4.0K Sep  4 01:33 ..
-rwxr-xr-x 1 rjmendez rjmendez  902 Nov 29  2014 Client_privKey.pem
-rwxr-xr-x 1 rjmendez rjmendez 2.5K Oct  7  2014 Client_Cert.pem
-rwxr-xr-x 1 rjmendez rjmendez 1.4K Oct  7  2014 TrustList.pem
-rwxr-xr-x 1 rjmendez rjmendez 1.4K Jun 18  2010 NAP_Cert.pem
drwxr-xr-x 2 rjmendez rjmendez 4.0K Dec 31  2009 .

Tu peux avoir un dump au JTAG ? Cela sent le soucis avant U-Boot.

Il faudrait que je trouve le temps de chercher le JTAG sur les pin du connecteur latéral, sachant que sur ce genre de matériel il est souvent désactivé en usine.

Certaines traces partent vers le FPGA : Je me demande si la séquence de flash n'est pas de 1) flasher & démarrer le FPGA , pour 2) charger un binaire dans le CPU CN5020, et 3) accéder ainsi à la flash en écriture.
Si c'est ça, ça dépasse mes compétences.
D'autre part , même si je pense que je pourrais dessouder la NOR, je n'ai pas de quoi la reflasher : Le flasher que j'ai, un TL866 , n'a pas la largeur de bus requise pour ce composant. Son successeur coûte près de 300€...

Donc là... Même si j'avoue que j'aimerais bien avoir un modem de backup :-)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: Nico le 25 mars 2022 à 17:13:18
UPDATE: US intelligence concludes #Russia's GRU is behind a key invasion-day hack.

Viasat attack 'bricked' KA-SAT satellite modems, disabling key Ukrainian military comms on invasion day.

Collateral impacts in several EU countries.

Scoop by @nakashimae https://www.washingtonpost.com/national-security/2022/03/24/russian-military-behind-hack-satellite-communication-devices-ukraine-wars-outset-us-officials-say/

https://twitter.com/jsrailton/status/1507388270237339649
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: petrus le 25 mars 2022 à 21:42:43
https://www.airforcemag.com/hackers-attacked-satellite-terminals-through-management-network-viasat-officials-say/

Citer
The attack compromised the management plane—the part of the network that
controls customer terminals to ensure they can communicate with the
satellite, the Viasat officials said. The hackers had abused that
functionality to change the software configuration on the terminals and
render them inoperable.

eeh oui.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: xp25 le 25 mars 2022 à 23:43:15
Je suis tombé là dessus :

-> https://thestack.technology/viasat-ka-sat-outage-cyber/

 -> https://threatpost.com/black-hat-satellite-comms-eavesdropping-hack/158146/

https://youtu.be/8emmRJGrimI
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 26 mars 2022 à 10:09:40
Citer
But, contrary to some early reports, the attack did not brick the terminals. “It did not make them permanently inoperable,” said the second official. “Every single terminal that was knocked off the air can be brought back with a software update.” Although the network is generally capable of updating terminals over the air, by downloading new software via the satellite link, many of the terminals attacked cannot be brought back online by the customer, and so can’t get the required update over the air. Those will have to be updated by tech support staff, the first official said.

Oui c'est un peu jouer sur les mots.... la flash est effacée, et ya plus de réponse sur le port série. Récupérer au jtag, c'est ce qu'on appelle "débricker"... Si ils m'envoient une sonde & le soft, je sais le faire aussi ...

Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: petrus le 30 mars 2022 à 20:35:15
Publication d'aujourd'hui de Viasat : https://www.viasat.com/about/newsroom/blog/ka-sat-network-cyber-attack-overview/

Citer
There is no evidence that [...] its supporting satellite ground infrastructure itself were directly involved, impaired or compromised.

 :o

Citer
Subsequent investigation and forensic analysis identified a ground-based network intrusion by an attacker exploiting a misconfiguration in a VPN appliance to gain remote access to the trusted management segment of the KA-SAT network.

Faudrait savoir ?
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: obinou le 30 mars 2022 à 21:28:29
Publication d'aujourd'hui de Viasat : https://www.viasat.com/about/newsroom/blog/ka-sat-network-cyber-attack-overview/

intéressant : Les attaquants ont manifestement réussi à se logguer sur les modems eux-même, pour lancer des commandes (RT-069 , SSH ou autre).
Ils ont commencé par un DDOS et se sont rendu compte ensuite qu'ils pouvaient "juste" briquer les modems , ce qu'ils ont fait de manière massive juste après .
=> Contrairement à ce que je pensais, c'est pas une mise à jour qui a été poussée, mais une prise de contrôle directe suivi de commandes visant à briquer le modem (sous linux, il y a des tas de possibilité...)

 
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: thenico le 31 mars 2022 à 01:13:37
Il existe peut-être un autre facteur: le télétravail pendant les confinements COVID.
Le premier confinement a été difficile au niveau des VPN avec des deployements rapides.
Est-ce qu'il n'y aurait pas eu des erreurs de configurations exposant des réseaux jusqu'ici isolé ?

Au final: compromission d'un VPN mal configuré pour pivoter latéralement vers le réseau d'administration des modems.
Je pense que la "mitigation" sur lequel ils ne souhaitent pas communiquer est juste de re-isoler ces réseaux privilégié.

Faudrait savoir ?
Ils doivent vouloir dire qu'il n'y a pas eu d'accès à la partie infra pure du réseau (avionique des satellites + les téléports).
C'est juste la partie ISP (la même que sur un réseau classique ADSL/cable) qui a été compromise.
Est-ce lla même entité ?
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: MoXxXoM le 31 mars 2022 à 15:39:02
Il y a en effet du TR-069 utilisé sur les modem Ka-Sat (C'est cet ACS qui est utilisé sur Ka-Sat https://www.axiros.com/products/axess-acs (https://www.axiros.com/products/axess-acs)), c'est une piste intéressante (https://www.broadband-forum.org/download/TR-069.pdf#page=19).

Apparement les tentatives d'attaque persistent: https://www.reuters.com/business/media-telecom/exclusive-hackers-who-crippled-viasat-modems-ukraine-are-still-active-company-2022-03-30/ (https://www.reuters.com/business/media-telecom/exclusive-hackers-who-crippled-viasat-modems-ukraine-are-still-active-company-2022-03-30/)
Citer
"We're still witnessing some deliberate attempts," the official said Tuesday. He said that Viasat was so far resisting the hackers with defensive measures but that "we've been seeing repeated attempts by this attacker to alter that pattern to test those new mitigations and defenses."

Faudrait savoir ?
Sur ça je pense qu'il faut comprendre que la TM/TC (télémesure-télécommande) donc la partie "admin" du satellite n'a pas été compromise, après c'est assez logique car les accès TM/TC sont généralement off-net/en circuit fermé.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: petrus le 31 mars 2022 à 22:39:56
Ils doivent vouloir dire qu'il n'y a pas eu d'accès à la partie infra pure du réseau (avionique des satellites + les téléports).
C'est juste la partie ISP (la même que sur un réseau classique ADSL/cable) qui a été compromise.

Sur ça je pense qu'il faut comprendre que la TM/TC (télémesure-télécommande) donc la partie "admin" du satellite n'a pas été compromise, après c'est assez logique car les accès TM/TC sont généralement off-net/en circuit fermé.

Oui ok vu comme ça, ça se tient.
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: petrus le 01 avril 2022 à 00:27:17
Le malware AcidRain serait l'outil utilisé pour effacer les flash des modems : https://www.sentinelone.com/labs/acidrain-a-modem-wiper-rains-down-on-europe/

Confirmé par viasat : https://techcrunch.com/2022/03/31/viasat-cyberattack-russian-wiper/

Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: BSA le 01 avril 2022 à 12:57:42
Pour ceux qui voudraient comprendre comment accéder à la puce flash sur les modems maçonnés via JTAG :
Pour activer eJTAG sur les modems SurfBeam 2

Établir une connexion de cavalier de R519 (ejtag-TDO) :
Déplacez la résistance R520 (JTAG) vers R419 pour que eJTAG-TRSTL soit activé

eJtag est exposé sur l'en-tête J21.
Première rangée du J21 :
TCK
SMT
eTDO
TDI
TRSTL
GND peut être pris par ex. de la broche ronde du TP10


Une modification réussie devrait vous renvoyer des données d'ID CPU telles que :
Version = 0 (identifie la version d'un appareil spécifique)
Numéro de pièce = 0xB00 (identifie le numéro de pièce d'un appareil spécifique)
ID de fabrication = 0x1CC


L'UART sur les modems SB2 est directement exposé sur l'en-tête de broche J24 sans qu'il soit nécessaire de modifier quoi que ce soit sur le PCB. Si vous avez accès au modem de travail, vous pouvez vider le flash à partir de la ligne de commande uBoot (l'approche YOLO du processus de démarrage interrompu à l'invite uBoot apparaîtra et vous pouvez faire votre magie pour obtenir un shell root)

English:
For those that would like to figure out how to access flash chip on the bricked modems via JTAG:
In order to enable eJTAG on the SurfBeam 2 modems

Make jumper connection of R519 (ejtag-TDO):
Move R520 (JTAG) resistor to R419 so eJTAG-TRSTL will be enabled

eJtag is exposed on the J21 header. 
First row of the J21:


Successfull modification should return you CPU ID data like:
Version = 0 (Identifies the version of a specific device)
Part Number = 0xB00 (Identifies the part number of a specific device)
ManufID = 0x1CC

UART on the SB2 modems is directly exposed on the J24 pin header without need to modify anything on the PCB. If you have access to the   working modem you can dump flash from the uBoot command line (YOLO approach to breake booting process to uBoot prompt will appear and you can do your magic to get a root shell)
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: petrus le 01 avril 2022 à 22:14:17
Nouvel article intéressant avec pas mal de détails techniques sur les vecteurs d'attaque via le tr069 : https://www.reversemode.com/2022/03/viasat-incident-from-speculation-to.html
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: Nico le 10 mai 2022 à 14:35:29
Russian cyber operations against Ukraine: Declaration by the High Representative on behalf of the European Union

The European Union and its Member States, together with its international partners, strongly condemn the malicious cyber activity conducted by the Russian Federation against Ukraine, which targeted the satellite KA-SAT network, operated by Viasat.
https://www.consilium.europa.eu/fr/press/press-releases/2022/05/10/russian-cyber-operations-against-ukraine-declaration-by-the-high-representative-on-behalf-of-the-european-union/
Titre: Les modems Ka-Sat sont briqés (détruits) suite à une cyberattaque le 24/02/2022
Posté par: vivien le 11 mai 2022 à 10:55:43
Traduction en Français :

Cyberopérations russes contre l'Ukraine: déclaration du haut représentant au nom de l'Union européenne

L'Union européenne et ses États membres, ainsi que ses partenaires internationaux, condamnent fermement la cyberattaque menée par la Fédération de Russie contre l'Ukraine, qui ciblait le réseau satellitaire KA-SAT, exploité par Viasat.

La cyberattaque a eu lieu une heure avant l'invasion non provoquée et injustifiée de l'Ukraine par la Russie le 24 février 2022, facilitant ainsi l'agression militaire. Cette cyberattaque a eu un impact significatif provoquant des interruptions et des perturbations de communication aveugles dans plusieurs autorités publiques, entreprises et utilisateurs en Ukraine, ainsi qu'affectant plusieurs États membres de l'UE.

Cette cyberattaque inacceptable est un autre exemple du comportement continu et irresponsable de la Russie dans le cyberespace, qui fait également partie intégrante de son invasion illégale et injustifiée de l'Ukraine. Un tel comportement est contraire aux attentes établies par tous les États membres de l'ONU, y compris la Fédération de Russie, en matière de comportement responsable des États et aux intentions des États dans le cyberespace.

Les cyberattaques visant l'Ukraine, y compris contre des infrastructures critiques, pourraient se propager à d'autres pays et avoir des effets systémiques mettant en danger la sécurité des citoyens européens.

L'Union européenne, en étroite collaboration avec ses partenaires, envisage de prendre de nouvelles mesures pour prévenir, décourager, dissuader et réagir à de tels comportements malveillants dans le cyberespace. L'Union européenne continuera de fournir un soutien politique, financier et matériel coordonné à l'Ukraine pour renforcer sa cyber-résilience.

La Russie doit arrêter cette guerre et mettre fin immédiatement aux souffrances humaines insensées.