Internet est lié à Spit & Baling Wire – Krebs on Security
Imaginez pouvoir déconnecter ou rediriger le trafic Internet destiné à certaines des plus grandes entreprises du monde, simplement en usurpant un e-mail. C’est la nature d’un vecteur de menace récemment supprimé par une entreprise Fortune 500 qui exploite l’une des plus grandes dorsales Internet.
Basé à Monroe, Louisiane, Technologies Lumen inc. [NYSE: LUMN] (Auparavant CenturyLink) est l’une des plus de deux douzaines d’entités qui exploitent ce qu’on appelle un registre de routage Internet (IRR). Ces IRR maintiennent des bases de données de routage utilisées par les opérateurs de réseau pour enregistrer les ressources de réseau qui leur sont attribuées, c’est-à-dire les adresses Internet qui ont été attribuées à leur organisation.
Les données conservées par les IRR aident à savoir quelles organisations ont le droit d’accéder à quel espace d’adressage Internet dans le système de routage mondial. Collectivement, les informations soumises volontairement aux IRR forment une base de données distribuée d’instructions de routage Internet qui permet de connecter un vaste éventail de réseaux individuels.
Il existe aujourd’hui environ 70 000 réseaux distincts sur Internet, allant d’énormes fournisseurs de haut débit comme AT&T, Comcast et Verizon à des milliers d’entreprises qui se connectent à la périphérie d’Internet pour y accéder. Chacun de ces soi-disant « systèmes autonomes » (AS) prend ses propres décisions quant à la manière et avec qui il se connectera au plus grand Internet.
Quelle que soit la manière dont ils se connectent, chaque AS utilise le même langage pour spécifier les plages d’adresses IP Internet qu’il contrôle : Protocole de passerelle frontalière, ou BGP. En utilisant BGP, un AS indique à ses AS voisins directement connectés les adresses qu’il peut atteindre. Ce voisin transmet à son tour l’information à ses voisins, et ainsi de suite, jusqu’à ce que l’information se soit propagée partout [1].
Une fonction clé des données BGP conservées par les IRR est d’empêcher les opérateurs de réseaux malveillants de réclamer les adresses d’un autre réseau et de détourner leur trafic. Essentiellement, une organisation peut utiliser les IRR pour déclarer au reste d’Internet : « Ces plages d’adresses Internet spécifiques sont les nôtres, ne doivent provenir que de notre réseau et vous devez ignorer tout autre réseau tentant de revendiquer ces plages d’adresses ».
Au début d’Internet, lorsque les organisations voulaient mettre à jour leurs enregistrements avec un IRR, les changements impliquaient généralement une certaine quantité d’interaction humaine – souvent quelqu’un éditant manuellement les nouvelles coordonnées dans un routeur Internet. Mais au fil des ans, les différents IRR ont facilité l’automatisation de ce processus par courrier électronique.
Pendant longtemps, toute modification des informations de routage d’une organisation avec un IRR pouvait être traitée par courrier électronique tant que l’une des méthodes d’authentification suivantes était utilisée avec succès :
-CRYPTE-PW : Un mot de passe est ajouté au texte d’un e-mail à l’IRR contenant l’enregistrement qu’ils souhaitent ajouter, modifier ou supprimer (l’IRR compare ensuite ce mot de passe à un hachage du mot de passe) ;
-CLÉ PGP : Le demandeur signe l’e-mail contenant la mise à jour avec une clé de chiffrement reconnue par l’IRR ;
-COURRIER DE: Le demandeur envoie les modifications d’enregistrement dans un e-mail à l’IRR, et l’authentification est basée uniquement sur l’en-tête « De : » de l’e-mail.
Parmi ceux-ci, MAIL-FROM a longtemps été considéré comme non sécurisé, pour la simple raison qu’il n’est pas difficile d’usurper l’adresse de retour d’un e-mail. Et pratiquement tous les IRR ont interdit son utilisation depuis au moins 2012, a déclaré Adam Korab, ingénieur réseau et chercheur en sécurité basé à Houston.
Tous sauf Level 3 Communications, un important fournisseur de dorsale Internet acquis par Lumen/CenturyLink.
« LEVEL 3 est le dernier opérateur IRR qui autorise l’utilisation de cette méthode, bien qu’ils en découragent l’utilisation depuis au moins 2012″, a déclaré Korab à KrebsOnSecurity. « D’autres opérateurs IRR ont complètement déprécié MAIL-FROM. »
Il est important de noter que le nom et l’adresse e-mail du contact officiel de chaque système autonome pour effectuer les mises à jour avec les IRR sont des informations publiques.
Korab a déposé un rapport de vulnérabilité auprès de Lumen démontrant comment un simple e-mail falsifié pourrait être utilisé pour perturber le service Internet des banques, des entreprises de télécommunications et même des entités gouvernementales.
« Si une telle attaque réussissait, cela entraînerait le filtrage et la suppression des blocs d’adresses IP des clients, les rendant inaccessibles depuis tout ou partie de l’Internet mondial », a déclaré Korab., notant qu’il a découvert que plus de 2 000 clients Lumen étaient potentiellement concernés. « Cela couperait effectivement l’accès à Internet pour les blocs d’adresses IP concernés. »
La récente panne qui a pris Facebook, Instagram et WhatsApp hors ligne pendant une bonne partie de la journée a été causé par une mise à jour BGP erronée soumise par Facebook. Cette mise à jour a emporté la carte indiquant aux ordinateurs du monde comment trouver ses diverses propriétés en ligne.
Considérez maintenant le chaos qui s’ensuivrait si quelqu’un falsifiait les mises à jour IRR pour supprimer ou modifier les entrées de routage pour plusieurs fournisseurs de commerce électronique, banques et sociétés de télécommunications en même temps.
« Selon l’étendue d’une attaque, cela pourrait avoir un impact sur les clients individuels, les zones géographiques du marché ou potentiellement le [Lumen] colonne vertébrale », a poursuivi Korab. «Cette attaque est triviale à exploiter et a une reprise difficile. Notre conjecture est que tout bloc d’adresse IP Lumen ou client impacté serait hors ligne pendant 24 à 48 heures. Dans le pire des cas, cela pourrait durer beaucoup plus longtemps. »
Lumen a déclaré à KrebsOnSecurity qu’il continuait à proposer l’authentification MAIL-FROM : car nombre de ses clients y comptaient encore en raison des systèmes existants. Néanmoins, après avoir reçu le rapport de Korab, la société a décidé que la solution la plus sage était de désactiver complètement l’authentification MAIL-FROM:.
« Nous avons récemment reçu une notification concernant une configuration non sécurisée connue avec notre registre de routes », lit-on dans une déclaration que Lumen a partagée avec KrebsOnSecurity. « Nous avions déjà mis en place des contrôles d’atténuation et à ce jour, nous n’avons identifié aucun problème supplémentaire. Dans le cadre de notre protocole normal de cybersécurité, nous avons soigneusement examiné cet avis et pris des mesures pour atténuer davantage les risques potentiels que la vulnérabilité aurait pu créer pour nos clients ou nos systèmes. »
KC Claffy est le fondateur et directeur du Center for Applied Internet Data Analysis (CAIDA) et chercheur résident au San Diego Supercomputer Center de l’Université de Californie à San Diego. Claffy a déclaré qu’il existe peu de preuves publiques d’un acteur malveillant utilisant la faiblesse désormais corrigée par Lumen pour détourner les routes Internet.
« Les gens ne le remarquent souvent pas, et un acteur malveillant travaille certainement pour y parvenir », a déclaré Claffy dans un e-mail à KrebsOnSecurity. «Mais aussi, si une victime le remarque, elle ne divulguera généralement pas les détails selon lesquels elle a été détournée. C’est pourquoi nous avons besoin d’un signalement obligatoire de telles violations, comme le dit Dan Geer depuis des années. »
Mais il existe de nombreux exemples de cybercriminels détournant des blocs d’adresses IP après l’expiration d’un nom de domaine associé à une adresse e-mail dans un enregistrement IRR. Dans ces cas, les voleurs enregistrent simplement le domaine expiré, puis envoient un courrier électronique à partir de celui-ci à un IRR spécifiant tout changement d’itinéraire.
Bien qu’il soit bien que Lumen ne soit plus le maillon le plus faible de la chaîne IRR, les mécanismes d’authentification restants ne sont pas géniaux. Claffy a déclaré qu’après des années de débat sur les approches visant à améliorer la sécurité du routage, la communauté des opérateurs a déployé une alternative connue sous le nom d’infrastructure à clé publique de ressource (RPKI).
« Le RPKI comprend une attestation cryptographique des enregistrements, y compris les dates d’expiration, chaque registre Internet régional (RIR) fonctionnant comme une » racine « de confiance », ont écrit Claffy et deux autres chercheurs de l’UC San Diego dans un article qui est toujours en cours d’examen par les pairs. « Comme pour l’IRR, les opérateurs peuvent utiliser la RPKI pour éliminer les messages de routage qui ne passent pas les contrôles de validation d’origine. »
Cependant, l’intégrité supplémentaire apportée par RPKI s’accompagne également d’une complexité et d’un coût supplémentaires, selon les chercheurs.
« Les implications opérationnelles et juridiques des dysfonctionnements potentiels ont limité l’enregistrement et l’utilisation de la RPKI », a observé l’étude (lien ajouté). « En réponse, certains réseaux ont redoublé d’efforts pour améliorer l’exactitude des données d’enregistrement IRR. Ces deux technologies fonctionnent désormais en parallèle, avec la possibilité de ne rien faire du tout pour valider les itinéraires.
[1]: J’ai emprunté un texte descriptif dans les 5e et 6e paragraphes d’un projet de document CAIDA/UCSD — IRR Hygiene in the RPKI Era (PDF).
Lectures complémentaires :
Zones de confiance : un chemin vers une infrastructure Internet plus sécurisée (PDF).
Examen d’une vulnérabilité Internet historique : pourquoi BGP n’est-il pas plus sécurisé et que pouvons-nous faire à ce sujet ? (PDF)