Sélection de l’actualité de la semaine

 

Une panne de Century Link provoque une chute du trafic internet mondial de 3,5%

Le fournisseur d’accès à Internet américain Century Link a subi une panne majeure, dimanche 30 août, entraînant une chute du trafic Internet mondial de 3,5%. La nature technique de la panne – impliquant à la fois un pare-feu et un routeur BGP – a entraîné la propagation de l’erreur vers l’extérieur du réseau de CenturyLink et a également touché d’autres FAI. L’effet domino a posé des problèmes de connectivité pour de nombreuses autres entreprises parmi lesquelles Amazon, Twitter, Microsoft (Xbox Live), EA, Blizzard, Steam, Discord, Reddit, Hulu, et bien d’autres encore. Century Link a rapidement annoncé que la cause de l’incident provenait d’une annonce Flowspec incorrecte. Pour rappel, Flowspec est une extension du protocole BGP qui permet d’utiliser les routes BGP pour distribuer des règles de pare-feu sur les réseaux d’entreprises. Les annonces Flowspec sont généralement utilisées pour traiter les incidents de sécurité, tels que les détournements BGP ou les attaques DDoS, car elles permettent aux entreprises de modifier l’ensemble de leur réseau pour réagir et atténuer les attaques en quelques secondes. Cloudflare a analysé l’incident et estime pour sa part que CenturyLink a mis tout son réseau dans une boucle en annonçant un tout nouvel ensemble de routes BGP, puis en supprimant accidentellement toutes les routes par le biais de la règle Flowspec mal configurée. La réparation de l’incident a pris plusieurs heures ; en effet, les routes BGP sont un type de message qui indique à chaque FAI quelle partie des adresses IP est disponible sur son réseau. Cependant, comme la commande Flowspec incorrecte de CenturyLink a fait tomber certains des routeurs de son réseau, certains de ces routeurs ont également commencé à annoncer des routes BGP incorrectes à d’autres services Internet voisins de « niveau 1 »… D’où l’effet domino provoqué par cette panne. CenturyLink a donc dû prendre la décision de dire à tous les autres fournisseurs d’accès Internet de niveau 1 de se déconnecter et d’ignorer tout trafic provenant de son réseau, pour réinitialiser ses équipements.

 

Les nouveaux certificats TLS auront dorénavant une durée de vie de 398 jours

A compter du 1er septembre 2020, les navigateurs et les appareils Apple, Google et Mozilla afficheront des erreurs pour les nouveaux certificats TLS dont la durée de vie est supérieure à 398 jours. Le CA/B Forum, organisme de coopération qui est un groupe informel composé d’autorités de certification (CA), des sociétés qui émettent des certificats TLS utilisés pour prendre en charge le trafic HTTPS et d’éditeurs de navigateurs, établit depuis 2005 les règles sur la manière dont les certificats TLS doivent être émis et sur la manière dont les navigateurs sont censés les gérer et les valider. Cependant, des dissensions internes relatives à la durée de vie des certificats émis ont poussé Apple a se détacher des procédures du CA/B Forum pour annoncer mettre en œuvre, de manière unilatérale, des certificats d’une durée de 398 jours sur leurs appareils et leur navigateur. Quelques semaines plus tard, Mozilla puis Google avaient annoncé s’aligner sur la décision d’Apple, envoyant un message fort aux autorités de certification. Pourquoi cette prise de position ? Au-delà des enjeux de pouvoirs propres au secteur du numérique américain, la norme veut qu’une fois qu’un certificat TLS a été utilisé pour des opérations malveillantes (phishing, etc.), il doit être révoqué par les autorités de certification. Cependant, le processus de révocation des certificats est un sac de nœuds depuis des années : très peu d’autorités de certification révoquent les certificats à temps et les mauvais certificats restent valables pendant des années, permettant aux acteurs malveillants de les réutiliser à leur guise. En réduisant la durée de vie des certificats, Apple, Mozilla et Google estiment réduire les risques associés à la réutilisation de certificats malveillants – ce que réfutent les autorités de certification. Celles-ci se sont malgré tout pliées aux nouveaux standards, non sans exprimer leur mécontentement.

 

Des universitaires contournent les codes PIN pour les paiements Visa sans contact

Une équipe d’universitaires de l’Ecole polytechnique fédérale de Zurich (ETH) a découvert une faille de sécurité permettant de contourner les codes PIN pour les paiements Visa sans contact. Cela signifie que des cybercriminels en possession d’une carte Visa sans contact volée peuvent l’utiliser pour effectuer des paiements sans contacts au-delà de la limite autorisée sans avoir besoin de saisir le code PIN de la carte. Pour réaliser l’attaque, les chercheurs ont utilisé deux téléphones fonctionnant comme un émulateur de carte et un émulateur de point de vente. L’émulateur de point de vente demande à la carte d’effectuer un paiement, modifie les détails de la transaction pour indiquer que le code PIN n’est pas nécessaire, puis envoie les données modifiées via le Wi-Fi au second smartphone qui effectue un paiement (sans avoir besoin de fournir un code PIN). L’attaque est rendue possible, selon les universitaires, par le fait que « la méthode de vérification du titulaire de la carte utilisée dans une transaction, le cas échéant, n’est ni authentifiée ni protégée cryptographiquement contre toute modification ». Ainsi, en modifiant les « Card Transaction Qualifiers » avant de le livrer au terminal, l’attaquant peut indiquer au terminal que : (1) la vérification du code PIN n’est pas nécessaire, et (2) le titulaire de la carte a été vérifié sur l’appareil du consommateur (par exemple, un smartphone). Les chercheurs suisses précisent avoir testé leur attaque dans de vrais magasins et qu’ils ont réussi à contourner les codes PIN sur les cartes Visa Credit, Visa Electron et VPay. L’équipe de l’ETH Zurich a informé Visa de ses conclusions.

 

L’ANSSI publie un guide de sensibilisation face aux rançongiciels

Les attaques par rançongiciels connaissent une augmentation sans précédent. Depuis le début de l’année, l’ANSSI a traité 104 attaques par rançongiciels. Face à ce constat l’ANSSI, en partenariat avec la Direction des Affaires criminelles et des grâces (DACG) du ministère de la Justice, publie le guide de sensibilisation Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ?. Le Groupe M6, le CHU de Rouen et Fleury Michon, tous trois victimes d’un rançongiciel en 2019, livrent un témoignage éclairant dans ce guide à destination des entreprises et des collectivités.

 

Y’a plus, je laisse ?

L’amiral A. Coustillière propose un RETEX sur son passage au sein de la DGNUM.