Une visualisation d’Internet réalisée à l’aide de données de routage réseau. Image : Barrett Lyon, opte.org.
Imaginez pouvoir déconnecter ou rediriger le trafic Internet destiné à certaines des plus grandes entreprises du monde, simplement en usurpant un e-mail. C’est la nature d’un vecteur de menace récemment supprimé par une entreprise du Fortune 500 qui exploite l’une des plus grandes dorsales Internet.
Basé à Monroe, en Louisiane, Lumen Technologies inc. [NYSE: LUMN] (Auparavant CenturyLink) est l’une des plus de deux douzaines d’entités qui exploitent ce qu’on appelle un Registre de routage Internet (IRR). Ces IRR maintiennent des bases de données de routage utilisées par les opérateurs de réseau pour enregistrer les ressources réseau qui leur sont attribuées, c’est-à-dire les adresses Internet qui ont été attribuées à leur organisation.
Les données conservées par les IRR permettent de savoir quelles organisations ont le droit d’accéder à quel espace d’adressage Internet dans le système de routage mondial. Collectivement, les informations soumises volontairement aux IRR forment une base de données distribuée d’instructions de routage Internet qui aide à connecter un vaste éventail de réseaux individuels.
Il existe aujourd’hui environ 70 000 réseaux distincts sur Internet, allant d’énormes fournisseurs de haut débit comme AT&T, Comcast et Verizon à plusieurs milliers d’entreprises qui se connectent à la périphérie d’Internet pour y accéder. Chacun de ces soi-disant « systèmes autonomes » (AS) prend ses propres décisions sur la manière et avec qui il se connectera à l’Internet plus large.
Quelle que soit la manière dont ils se connectent, chaque AS utilise le même langage pour spécifier les plages d’adresses IP Internet qu’il contrôle : Protocole de passerelle frontalière, ou BGP. En utilisant BGP, un AS indique à son ou ses AS voisins directement connectés les adresses qu’il peut atteindre. Ce voisin transmet à son tour l’information à ses voisins, et ainsi de suite, jusqu’à ce que l’information se soit propagée partout [1].
Une fonction clé des données BGP conservées par les IRR est d’empêcher les opérateurs de réseau malveillants de revendiquer les adresses d’un autre réseau et de détourner leur trafic. Essentiellement, une organisation peut utiliser les IRR pour déclarer au reste d’Internet : « Ces plages d’adresses Internet spécifiques sont les nôtres, ne doivent provenir que de notre réseau et vous devez ignorer tout autre réseau essayant de revendiquer ces plages d’adresses ».
Au début d’Internet, lorsque les organisations souhaitaient mettre à jour leurs enregistrements avec un IRR, les modifications impliquaient généralement une certaine interaction humaine – souvent quelqu’un modifiant manuellement les nouvelles coordonnées dans un routeur dorsal Internet. Mais au fil des ans, les différents IRR ont facilité l’automatisation de ce processus par e-mail.
Pendant longtemps, toute modification des informations de routage d’une organisation avec un IRR pouvait être traitée par e-mail tant que l’une des méthodes d’authentification suivantes était utilisée avec succès :
-CRYPT-PW : Un mot de passe est ajouté au texte d’un e-mail envoyé à l’IRR contenant l’enregistrement qu’il souhaite ajouter, modifier ou supprimer (l’IRR compare ensuite ce mot de passe à un hachage du mot de passe) ;
-PGPKEY : Le demandeur signe l’e-mail contenant la mise à jour avec une clé de cryptage reconnue par l’IRR ;
-COURRIER DE: Le demandeur envoie les modifications d’enregistrement dans un e-mail à l’IRR, et l’authentification est basée uniquement sur l’en-tête « De : » de l’e-mail.
Parmi ceux-ci, MAIL-FROM a longtemps été considéré comme non sécurisé, pour la simple raison qu’il n’est pas difficile d’usurper l’adresse de retour d’un e-mail. Et pratiquement tous les IRR ont interdit son utilisation depuis au moins 2012, a déclaré Adam Korabingénieur réseau et chercheur en sécurité basé à Houston.
Tout sauf Communications de niveau 3un important fournisseur de dorsale Internet acquis par Lumen/CenturyLink.
« LEVEL 3 est le dernier opérateur IRR qui permet l’utilisation de cette méthode, bien qu’ils aient découragé son utilisation depuis au moins 2012 », a déclaré Korab à BreachTrace. « D’autres opérateurs IRR ont complètement déprécié MAIL-FROM. »
Il est important de noter que le nom et l’adresse e-mail du contact officiel de chaque système autonome pour effectuer les mises à jour avec les IRR sont des informations publiques.
Korab a déposé un rapport de vulnérabilité auprès de Lumen démontrant comment un simple e-mail usurpé pourrait être utilisé pour perturber le service Internet des banques, des entreprises de télécommunications et même des entités gouvernementales.
« Si une telle attaque réussissait, cela entraînerait le filtrage et la suppression des blocs d’adresses IP des clients, les rendant inaccessibles depuis tout ou partie de l’Internet mondial », a déclaré Korab., notant qu’il a découvert que plus de 2 000 clients Lumen étaient potentiellement concernés. « Cela couperait efficacement l’accès à Internet pour les blocs d’adresses IP concernés. »
La récente panne qui a pris Facebook, Instagram et Whatsapp déconnecté pendant une bonne partie de la journée a été causé par une mise à jour BGP erronée soumise par Facebook. Cette mise à jour a supprimé la carte indiquant aux ordinateurs du monde comment trouver ses différentes propriétés en ligne.
Considérez maintenant le chaos qui s’ensuivrait si quelqu’un usurpait les mises à jour IRR pour supprimer ou modifier les entrées de routage pour plusieurs fournisseurs de commerce électronique, banques et entreprises de télécommunications en même temps.
« Selon l’ampleur d’une attaque, cela pourrait avoir un impact sur les clients individuels, les zones géographiques du marché ou potentiellement le [Lumen] colonne vertébrale », a poursuivi Korab. « Cette attaque est triviale à exploiter, et a une récupération difficile. Notre hypothèse est que tout Lumen ou bloc d’adresse IP client impacté serait hors ligne pendant 24 à 48 heures. Dans le pire des cas, cela pourrait durer beaucoup plus longtemps.
Lumen a déclaré à BreachTrace qu’il continuait à proposer l’authentification MAIL-FROM, car nombre de ses clients s’y fiaient encore en raison de systèmes hérités. Néanmoins, après avoir reçu le rapport de Korab, la société a décidé que la solution la plus sage était de désactiver complètement l’authentification MAIL-FROM:.
« Nous avons récemment reçu un avis d’une configuration non sécurisée connue avec notre registre de routage », lit-on dans une déclaration que Lumen a partagée avec BreachTrace. « Nous avions déjà mis en place des contrôles d’atténuation et à ce jour, nous n’avons identifié aucun problème supplémentaire. Dans le cadre de notre protocole de cybersécurité normal, nous avons soigneusement examiné cet avis et pris des mesures pour atténuer davantage les risques potentiels que la vulnérabilité aurait pu créer pour nos clients ou nos systèmes.
Level3, qui fait maintenant partie de Lumen, a longtemps exhorté les clients à éviter d’utiliser « Mail From » pour l’authentification, mais jusqu’à très récemment, ils l’autorisaient toujours.
KC Claffy est le fondateur et directeur de la Centre d’analyse appliquée des données Internet (CAIDA) et chercheur résident au San Diego Supercomputer Center de l’Université de Californie à San Diego. Claffy a déclaré qu’il existe peu de preuves publiques d’un acteur menaçant utilisant la faiblesse désormais corrigée par Lumen pour détourner les routes Internet.
« Les gens ne le remarquent souvent pas, et un acteur malveillant travaille certainement pour y parvenir », a déclaré Claffy dans un e-mail à BreachTrace. « Mais aussi, si une victime s’en aperçoit, elle ne divulguera généralement pas les détails qu’elle a été détournée. C’est pourquoi nous avons besoin d’un signalement obligatoire de ces infractions, car Dan Geer dit depuis des années.”
Mais il existe de nombreux exemples de cybercriminels détournant des blocs d’adresses IP après l’expiration d’un nom de domaine associé à une adresse e-mail dans un enregistrement IRR. Dans ces cas, les voleurs enregistrent simplement le domaine expiré, puis envoient un e-mail de celui-ci à un IRR en précisant tout changement de route.
Bien qu’il soit agréable que Lumen ne soit plus le maillon le plus faible de la chaîne IRR, les mécanismes d’authentification restants ne sont pas géniaux. Claffy a déclaré qu’après des années de débat sur les approches visant à améliorer la sécurité du routage, la communauté des opérateurs a déployé une alternative connue sous le nom de Infrastructure à clé publique des ressources (RPKI).
« Le RPKI comprend une attestation cryptographique des enregistrements, y compris les dates d’expiration, chaque registre Internet régional (RIR) fonctionnant comme une » racine « de confiance », ont écrit Claffy et deux autres chercheurs de l’UC San Diego dans un article qui est toujours en cours d’examen par les pairs. « Semblable à l’IRR, les opérateurs peuvent utiliser le RPKI pour rejeter les messages de routage qui ne passent pas les contrôles de validation d’origine. »
Cependant, l’intégrité supplémentaire apportée par RPKI s’accompagne également d’une complexité et d’un coût accrus, ont constaté les chercheurs.
« Opérationnel et implications juridiques des dysfonctionnements potentiels ont un enregistrement et une utilisation limités du RPKI », a observé l’étude (lien ajouté). « En réponse, certains réseaux ont redoublé d’efforts pour améliorer l’exactitude des données d’enregistrement IRR. Ces deux technologies fonctionnent désormais en parallèle, avec la possibilité de ne rien faire du tout pour valider les itinéraires.
[1]: J’ai emprunté un texte descriptif dans les 5e et 6e paragraphes d’un projet de document CAIDA/UCSD – L’hygiène IRR à l’ère RPKI (PDF).
Lecture complémentaire :
Zones de confiance : une voie vers une infrastructure Internet plus sécurisée (PDF).