FRnOG 39 - Xavier Le Bris : RIPE Update

Vidéos des réunions FRnOG

28/04/2024

Catégorie

🤖

Technologie

Transcription

Afficher la transcription complète de la vidéo

00:00 Bonjour à tous. Alors la présentation est en anglais, mais je vais le faire en français.

00:05 Alors je suis Xavier Lebris, je travaille au RIPE NCC depuis un certain temps

00:11 et en fait maintenant ma fonction elle est plus au niveau du Registration Monitoring Department.

00:16 Donc ce que je vais faire comme mise à jour, c'est de parler en fait de tout ce qui s'est passé avec le 2FA

00:23 ou du moins les Factors Authentication pour se logger en fait sur les services du RIPE NCC.

00:29 Donc voilà, assez récemment, début janvier, il y a eu pas mal d'informations qui ont été passées sur des listes

00:38 à propos de leakage en fait, qui ont été faites par rapport à des comptes d'accès au service du RIPE NCC.

00:46 Alors voilà le détail. D'abord, pourquoi vous utilisez un compte du RIPE NCC ?

00:52 En fait ça peut être pour utiliser Atlas, RIPE Atlas par exemple.

00:57 Ça peut être parce que vous êtes membre et que vous voulez accéder au portal

01:00 ou ça peut être pour la RIPE Database.

01:02 Donc ça peut être des membres ou bien des utilisateurs qui ont un intérêt par exemple à accéder à tout ce qui est la formation du RIPE NCC.

01:11 Donc du coup, il y a à peu près 116 000 à compte au niveau utilisateur

01:19 et donc en janvier, il y en a eu 870 qui ont été diffusées sur des sites en ligne de propagation de ce genre d'informations.

01:28 Et du coup, sur ces 870, il y en a eu certains, il y en avait à peu près 107 qui étaient liés à des membres

01:35 et 8 qui ont été compromis.

01:38 Et du coup, ce que nous avons fait, c'est obligatoirement de mettre le 2FA en pratique.

01:44 Donc c'était depuis 2011 actif, donc il était possible de l'utiliser, mais par contre il n'était pas obligatoire.

01:52 Et donc là, à partir du 26 mars, ça a été mis obligatoire.

01:56 Donc à chaque fois que vous allez devoir vous loguer sur un des services du RIPE NCC, il va vous demander de l'activer.

02:04 Donc vous avez tout un rapport qui a été effectué, que vous voyez dans le lien tout en bas là,

02:11 au niveau du post-mortem, qui met tout un détail, ce qui s'est exactement passé

02:16 et ce que nous avons mis en place pour pouvoir mitiger l'attaque.

02:20 Donc là, en l'occurrence, les passwords ou les mots de passe qui avaient été divulgués,

02:26 ont été faits par le biais de brute force attaque.

02:32 Et du coup, 8 membres ont été impactés.

02:36 Donc ce que l'on a fait à partir de là, c'était de mettre en place,

02:42 de mettre à jour notre infrastructure, c'est à dire que tout était lié à Altazienne,

02:47 on avait une suite Altazienne qui faisait en fait le 2FA, mais qui n'était pas adapté au nouvel type d'authentication.

02:53 Et du coup, on a mis ça à jour, on utilise Keylog, donc le document qui est ici, le lab article qui a été écrit,

03:01 en fait il montre tout le côté technique.

03:04 Donc si vous voulez plus de détails, n'hésitez pas à utiliser le lien.

03:07 Alors après ça, qu'est-ce que nous avons fait pour pouvoir mitiger les attaques ?

03:14 En fait, c'était surtout regarder toute l'activité qui s'est passée sur certains comptes.

03:19 Donc on a regardé quels étaient les comptes qui avaient été changés assez récemment,

03:23 et à partir de là, de regarder s'il y avait de l'activité au niveau des ressources surtout.

03:26 C'est à dire s'il y avait des transferts à se passer, s'il y avait au niveau RPKI,

03:30 des entrées qui auraient pu être enlevées, des choses comme ça.

03:33 Donc à partir de là, ce que l'on a mis en place, c'est que le 2FA soit obligatoire.

03:40 Donc quand vous vous loguez, ce qui se passe, c'est que vous allez avoir un lien qui va vous être envoyé,

03:45 et à partir de là, vous pouvez le mettre en place par rapport au QR code que vous voyez,

03:51 et donc choisir un type d'authenticator.

03:54 Donc vous pouvez le choisir, à partir de là scanner le QR code,

03:59 et donc insérer votre device name, et de récupérer après ça les recovery code,

04:06 parce que vous en aurez besoin si jamais vous changez de téléphone ou des choses comme ça.

04:09 Donc ça c'est la partie pratique au niveau de l'implémentation.

04:16 Si on regarde un petit peu ce qui a été fait aussi pour vous aider à déterminer

04:20 qui est encore dans votre infrastructure, un de vos collègues par exemple,

04:24 qui ne serait pas à jour ou qui n'aurait pas activé MFA,

04:29 à ce moment là, ce serait possible par le biais du LAR Portal.

04:32 Donc quand vous vous connectez sur le portal, vous avez la possibilité de voir qui n'est pas encore en 2FA.

04:39 Donc ça c'est important pour pouvoir vérifier que tout le monde soit bien à jour,

04:42 et que ce ne soit pas vraiment une forme d'attaque potentielle sur votre database au niveau du RIPE.

04:50 Pareil, ce qui est important aussi ici, c'est de vérifier que les gens qui ont accès au portal

04:57 sont bien à jour en fait.

05:00 Parce qu'il y a énormément de contacts qui ont été mis dans la database il y a assez longtemps,

05:06 ils sont toujours là, vus comme potentiellement habilités à faire des changements.

05:10 Donc vérifiez bien que tous vos contacts soient bien à jour,

05:14 et enlevez-les bien sûr quand ils ne sont pas à jour.

05:17 L'autre chose qui est super importante, c'est au niveau des emails que vous utilisez

05:22 pour créer vos RIPE NCC access accounts, évitez les listes de diffusion.

05:26 Parce qu'à partir de là, s'il y a des changements qui s'opèrent dans le LER Portal,

05:30 vous allez pouvoir avoir des logs que simplement sur la liste de diffusion,

05:34 non pas la personne que vous avez invité.

05:36 Donc inviter individuellement les personnes avec leurs emails,

05:40 c'est utiliser simplement en interne, et à partir de là,

05:43 vous aurez beaucoup moins de soucis pour définir qui a fait quoi.

05:46 Donc ça c'est la partie un peu pratique, donc il est possible de voir qui est activé.

05:53 Si on regarde un petit peu les stats depuis l'implémentation des 2FA en fait,

05:59 si on regarde à peu près les membres, il y a à peu près 45 000 comptes de membres,

06:09 de RIPE NCC access accounts, qui sont liés à des membres.

06:14 Et il y a à peu près 42% qui ont mis à jour en 2FA,

06:19 si on regarde sur la période depuis fin mars jusqu'à maintenant,

06:24 c'est à peu près 1 600 comptes.

06:26 Donc le RIPE NCC essaye, en étant proactif, de contacter les membres

06:31 et leur dire par le biais d'Audit ou d'ARC, ça s'appelle comme ça,

06:34 d'activer ceci, mais bon, c'est toujours bien de vérifier aussi par vous-même.

06:41 Plus d'informations, si jamais dans le futur vous avez des besoins

06:47 qui sont par exemple des types d'authenticators qui ne seraient pas inclus pour le moment,

06:51 il est possible de nous envoyer les feature requests.

06:55 Ceci, ce sera publié aussi dans les quarterly reports,

07:00 donc tous les trimestres, il y a un rapport qui est défini à la communauté en fait,

07:05 pour définir ce qu'on va mettre à jour au niveau de notre software

07:08 et à partir de là, ce qui va se passer dans le temps à venir,

07:13 et donc de pouvoir tester les choses.

07:15 Donc ça, c'est pour le futur développement,

07:19 donc n'hésitez pas à nous faire part de vos demandes ou besoins.

07:23 Une petite update que je voulais vous rappeler,

07:27 c'est qu'il y a des votes qui sont super importants qui vont venir en mai.

07:30 Donc du 22 au 24 mai, il va y avoir l'assemblée générale du RIPE NCC,

07:38 qui va se passer à Cracow, mais bien sûr, vous pouvez le faire par le biais du portal,

07:42 et donc de voter à distance si vous le désirez.

07:44 Ce que vous allez voter, ça va être pour les fees, le charging scheme,

07:49 et aussi pour deux boards qui vont changer,

07:51 et autrement pour deux résolutions.

07:53 Donc n'oubliez pas ceci, c'est super important,

07:57 et à partir de là, il y a à l'heure actuelle trois modèles qui sont,

08:03 pour financer en fait le RIPE NCC, qui sont à voter,

08:07 et voilà la majorité des infos, vous pouvez les avoir en ligne aussi,

08:14 il y a eu des discussions qui sont passées sur Member Discuss,

08:17 c'est la liste de diffusion pour que les membres puissent participer,

08:20 c'est toujours actif, donc émettez aussi vos besoins si vous en avez,

08:26 et définissez ce que vous voulez, mais le plus important,

08:28 c'est vraiment de voter pour montrer ce que vous voulez vraiment pour le futur.

08:31 À partir de là, je ne sais pas si vous avez des questions pour moi,

08:35 parce que j'arrive au bout de ma présentation.

08:38 - Bravo.

08:39 - Il y a une minute.

08:41 - Allez-y.

08:43 - Il y en a une tout là-bas.

08:45 - Justement, en parlant des changements de financement

08:56 suite au prochain Général Meeting,

08:59 vis-à-vis des propositions qui nous ont faites,

09:01 par rapport au dernier élément, il en manque quand même une,

09:04 celle de rester sur le financement actuel,

09:07 donc quand on nous demande un choix qui est un choix totalement biaisé,

09:11 excusez-moi, mais ça pose quand même d'énormes questions,

09:14 et je pense que beaucoup de personnes dans l'auditoire sont de cet avis.

09:18 - Merci pour le retour d'informations,

09:20 c'est bien ce qui apparaît sur la liste de diffusion,

09:23 sur la liste de "member discuss",

09:25 et moi, je travaille pour le secrétariat,

09:28 je n'ai pas d'avis réellement dessus,

09:30 et je comprends tout à fait ce que vous dites.

09:32 - OK, très bien.

09:34 C'était plus une remarque qu'une question.

09:36 Merci.

09:37 (Applaudissements)

Recommandations