Piratage Orange Espagne : l’accès à Internet perturbé… à cause d’un compte pas suffisamment sécurisé !
La nouvelle année commence mal chez Orange Espagne : mercredi 3 janvier 2024, le trafic Internet de l'opérateur a été fortement perturbé suite à une attaque informatique ! En cause : un mot de passe beaucoup trop faible dérobé par un infostealer ! Voici ce qu'il faut savoir !
Un pirate informatique surnommé "Snow" est parvenu à compromettre le compte RIPE d'Orange Espagne, ce qui lui a permis de perturber les activités de l'un des principaux opérateurs du pays. Pour ceux, qui, comme moi, ignorent ce qu'est un compte RIPE, voici la définition proposée par Wikipédia : "Le RIPE NCC (Réseaux IP Européens - Network Coordination Centre) est un registre régional d'adresses IP. Il dessert l'Europe et une partie de l'Asie, notamment au Moyen-Orient."
Ainsi, pendant plusieurs heures, l'accès à Internet a été perturbé dans toute l'Espagne puisque le pirate a détourné le trafic BGP de l'opérateur (empêchant une partie du trafic d'aboutir). Pour rappel, le BGP est un protocole de routage utilisé pour Internet, ce qui en fait un protocole très utilisé par les opérateurs.
Le pirate à l'origine de cette cyberattaque a publié sur Twitter plusieurs informations pour en dire plus sur son modus operandi. Nous savons qu'il a utilisé un malware de type "infostealer" pour voler les identifiants d'un salarié d'Orange Espagne. Mais bon, il aurait presque pu s'en passer, car le mot de passe du compte administrateur donnant accès au compte RIPE est particulièrement ridicule : "ripeadmin".
C'est clairement insuffisant, et l'accès à ce compte n'était pas protégé par du MFA. D'ailleurs, dans la foulée, RIPE NCC a publié un message pour rappeler l'importance d'activer le MFA sur les comptes d'accès : "Nous encourageons les titulaires de comptes à mettre à jour leurs mots de passe et à activer l'authentification multifactorielle pour leur compte."
Même si nous ignorons l'impact réel de cette attaque et ses conséquences, Orange Espagne tient à rassurer ses clients : "Nous confirmons qu'en aucun cas les données de nos clients n'ont été compromises, seule la navigation de certains services a été affectée.", peut-on lire sur X.
Salut Florian,
Le mot de passe faible n’est clairement pas en cause dans l’histoire. Il aurait pu être une sequence aléatoire de caractère longue comme le bras que la finalité aurait été la même. Comme l’indique RIPE, l’importance ici c’est surtout le fait d’activer MFA. (et de ne pas mémoriser ses mots de passe dans un navigateur)
Ce que je suis étonné par contre est que personne ne semble s’inquiéter du malware qui a pu voler potentiellement d’autres accès.
Hello Gary,
Oui c’est vrai, mot de passe faible ou pas, l’infostealer aurait fait son job! Ca m’a tellement étonné ce mot de passe que c’est devenu le coupable idéal ^^