Nicolas Gouhier
Orange Espagne : du piratage d’un compte administrateur à une vaste perte de connexion à Internet
Un pirate a pu accéder à un compte administrateur qui lui a permis de modifier les routes annoncées pour tout un éventail d’adresses IP utilisées par Orange Espagne. De quoi les déconnecter d’Internet. Tout cela à cause d’un infostealer.
Tempête sur la connexion à Internet en Espagne, en ce mercredi 3 janvier. En début d’après-midi, un acteur utilisant le pseudonyme Snow interpelle la filiale locale du groupe Orange : « j’ai corrigé la sécurité de votre compte administrateur RIPE. Envoyez-moi un message pour obtenir les nouveaux identifiants ».
Le RIPE, c’est le registre des réseaux IP européens, en charge du centre de coordination qui distribue les adresses IPv4 et IPv6 ainsi que les numéros de systèmes autonomes (ASN) utilisés pour routage des adresses, suivant le protocole BGP.
Prendre le contrôle d’un compte d’administration d’un opérateur télécom pour la base de données du RIPE, c’est obtenir le pouvoir d’annoncer de nouvelles routes vers les plages d’adresses IP attribuées à cet opérateur. Et si ces routes sont erronées, les adresses affectées deviennent inaccessibles et coupées d’Internet.
Sur X (ex-Twitter), Orange Espagne a reconnu la nature de l’incident dans la soirée : « le compte Orange du centre de coordination du réseau IP (RIPE) a subi un accès inapproprié qui a affecté la navigation de certains de nos clients. Le service est pratiquement rétabli ».
Plus tard, Snow a toutefois enfoncé le clou, déplorant une sécurité dudit compte « très questionnable » : le mot de passe était, selon lui, « ripeadmin » et aucune authentification à double facteur n’était activée (2FA). Le mot de passe aurait été trouvé dans « les fuites publiques de données de bot ». De quoi suggérer la compromission d’un poste de travail par un infostealer.
Des milliers d’ordinateurs sont compromis par de tels maliciels, chaque jour, dans le monde. Des chiffres constatés sur la simple base de logs – le butin d’un infostealer – diffusés gratuitement sur des canaux Telegram spécialisés.
À l’automne dernier, le Français Shadow a été victime d’une cyberattaque lancée à partir d’identifiants dérobés par un infostealer.
Sur l’une des captures d’écran partagées par Snow, sur X, figure l’adresse e-mail correspondant au compte compromis. Les équipes d’Hudson Rock, spécialiste des compromissions par infostealer, ont pu enquêter sur celle-ci et retrouver le mot de passe indiqué par Snow : « l’employé d’Orange a vu son ordinateur infecté par un Infostealer de type Raccoon le 4 septembre 2023 ». Les identifiants professionnels compromis à cette occasion ne se limitaient pas à celui détourné par le pirate.