La combinaison infostealer et mot de passe faible est à l’origine d’une panne massive de l’accès à Internet chez Orange Spain hier soir. L’interruption de service a été revendiquée par un pirate connu sous le pseudonyme « Snow ». Il a publié sur Twitter des captures d’écran montrant son modus operandi.

L’opérateur a confirmé que son compte RIPE avait été compromis. Pour rappel, RIPE est la base de données régionale qui contient toutes les adresses IP et leurs propriétaires en Europe, au Moyen-Orient et en Asie centrale. Après la violation de ce compte, Snow a détourné le trafic BGP (protocole de routage) du FAI ce qui a entraîné la panne pour une grande partie des clients du second opérateur espagnol.

Infostealer et très faible politique de mots de passe

Grâce aux informations divulguées sur Twitter, des chercheurs ont pu constater les erreurs de sécurité d’Orange Spain. En premier lieu, le pirate s’est servi d’un infostealer auprès d’un salarié de l’opérateur pour dérober les identifiants administrateurs. Le mot de passe choisi était très faible « ripeadmin » pour un compte de cette importance.

Par ailleurs, l’expert Kevin Beaumont a également noté que RIPE n'impose pas l'utilisation de la double authentification ou du MFA, et qu'elle n'était pas activée chez Orange Espagne, alors que la base de données équivalente en Amérique du Nord, ARIN, l'impose depuis février 2023. Il ajoute qu’il n’existe pas non plus de politique de mot de passe spécifique (obligation de taille, de casse, de types de caractères,…).