Getty Images
Orange España, le deuxième opérateur de téléphonie mobile d’Espagne, a subi une panne majeure mercredi après qu’un inconnu ait obtenu un mot de passe « ridiculement faible » et l’a utilisé pour accéder à un compte de gestion de la table de routage mondiale qui contrôle quels réseaux fournissent le trafic Internet de l’entreprise, ont déclaré les chercheurs.
Le détournement a commencé vers 9 h 28, temps universel coordonné (environ 2 h 28, heure du Pacifique), lorsque l’utilisateur s’est connecté au compte RIPE NCC d’Orange en utilisant le mot de passe « ripeadmin » (moins les guillemets). Le centre de coordination du réseau RIPE est l’un des cinq registres Internet régionaux, chargés de gérer et d’attribuer des adresses IP aux fournisseurs de services Internet, aux organisations de télécommunications et aux entreprises qui gèrent leur propre infrastructure réseau. RIPE dessert 75 pays en Europe, au Moyen-Orient et en Asie centrale.
« Les choses sont devenues moche »
Le mot de passe a été révélé après que la fête, utilisant le surnom de Snow, a publié une image sur les réseaux sociaux montrant l’adresse e-mail orange.es associée au compte RIPE. RIPE a déclaré qu’il travaillait sur des moyens de renforcer la sécurité des comptes.
La société de sécurité Hudson Rock a connecté l’adresse e-mail à une base de données qu’elle gère pour suivre les informations d’identification à vendre dans les bazars en ligne. Dans un message, la société de sécurité a déclaré que le nom d’utilisateur et le mot de passe « ridiculement faible » avaient été récupérés par un logiciel malveillant voleur d’informations installé sur un ordinateur d’Orange depuis septembre. Le mot de passe a ensuite été mis en vente sur un marché d’infostealer.
HJudson Rock
Le chercheur Kevin Beaumont a déclaré que des milliers d’informations d’identification protégeant d’autres comptes RIPE sont également disponibles sur ces marchés.
Une fois connecté au compte RIPE d’Orange, Snow a apporté des modifications à la table de routage globale sur laquelle s’appuie l’opérateur mobile pour spécifier quels fournisseurs de backbone sont autorisés à acheminer son trafic vers différentes parties du monde. Ces tables sont gérées à l’aide du Border Gateway Protocol (BGP), qui connecte un réseau régional au reste d’Internet. Plus précisément, Snow a ajouté plusieurs nouveaux ROA, abréviation de Route Origin Authorizations. Ces entrées permettent aux « systèmes autonomes » tels que l’AS12479 d’Orange de désigner d’autres systèmes autonomes ou de gros morceaux d’adresses IP pour acheminer leur trafic vers diverses régions du monde.
Dans la phase initiale, les changements n’ont eu aucun effet significatif car les ROA que Snow a ajoutés annonçant que les adresses IP (93.117.88.0/22 et 93.117.88.0/21, et 149.74.0.0/16) provenaient déjà de l’AS12479 d’Orange. Quelques minutes plus tard, Snow a ajouté des ROA à cinq itinéraires supplémentaires. Tous sauf un provenaient également d’Orange AS et, une fois de plus, n’ont eu aucun effet sur le trafic, selon un rapport détaillé de l’événement rédigé par Doug Madory, un expert BGP de la société de sécurité et de réseaux Kentik.
La création du ROA pour 149.74.0.0/16 a été le premier acte de Snow à créer des problèmes, car la longueur maximale du préfixe était fixée à 16, rendant invalides toutes les routes plus petites utilisant la plage d’adresses.
« Cela a invalidé tous les itinéraires plus spécifiques (préfixe plus long) qu’un 16 », a déclaré Madory à Ars dans une interview en ligne. « Ainsi, des itinéraires comme 149.74.100.0/23 sont devenus invalides et ont commencé à être filtrés. Alors [Snow] créé davantage de ROA pour couvrir ces itinéraires. Pourquoi? Pas certain. Je pense qu’au début, ils ne faisaient que déconner. Avant la création de ce ROA, il n’existait aucun ROA permettant d’affirmer quoi que ce soit sur cette plage d’adresses.