Le 05/01/2024 à 20:18, N R a écrit :
Bonsoir monde,
C'est vrai qu'avec l'exemple de Lapsus$ qui bombardait l'utilisateur⋅ice de
notifications MFA jusqu'à ce qu'il ou elle cède et leur succès à infiltrer
Micromou, Okta ou Nvidia, ça valide l'effet "sécurité qui rajoute des
trous" du MFA.

Je plussoie au constat que c'est devenu délirant, peut-être un vrai effet
NoCode, il n'y a pas besoin de compétences particulière pour compromettre
des infrastructures critiques, voir aussi l'exemple InfraGard infiltrée par
USDoD.

[2 cents Vendredi]
À toujours proposer des solutions techniques à des problèmes foncièrement
humains, on fragilise l'infrastructure et l'humanité d'un coup.
Globalement j'ai la sensation aussi que la sécurité c'est toujours pour se
rassurer ou un problème pour les autres.
[\0/]

Après, c'est sûr que mettre du MFA et un mot de passe un poil plus
résistant à du bruteforce (post-quantum everything toussah) sur des
interfaces critiques et exposées ça protège du tout-venant.
L'OTP c'est bien aussi quand c'est bien fait, ou les jetons physiques genre
Yubikey, Onlykey...

Nicolas 'Kholah' Randrianarisoa

Le ven. 5 janv. 2024 à 12:05, Stephane Bortzmeyer <bortzme...@nic.fr> a
écrit :

On Thu, Jan 04, 2024 at 09:39:15AM +0100,
  David Ponzone <david.ponz...@gmail.com> wrote
  a message of 21 lines which said:

Allez, activation du MFA partout sur RIPE (et les autres RIRs),
histoire
que au moins on remette le besoin d'un acces a un device physique
(router
ou token) pour continuer a casser notre bel outil.

Pas forcément, si tu caches mal ton emergency code :)

Ou si on se laisse prendre à de l'ingéniérie sociale. Le MFA est
évidemment impératif pour les comptes au RIPE mais ce n'est pas une
solution miracle.

La leçon que j'en tirerai est plutôt « toute technique de sécurité
peut être détournée pour créer une attaque par déni de service ».


Ou alors faut-il passer à l'étape d'après et faire un réseau dédié au RIPE comme celui du GIE EGP (portabilité des mobiles) ou de l'APNF (portabilité fixe) ou de SWIFT (bancaire). Les machines qui gèrent ces échanges entre opérateurs sont uniquement accessible via un VPN.

C'est beaucoup moins souple qu'Internet, mais ça ajoute une couche de sécurité (ça n'empêche pas ceux qui mettent en place du NAT/reverse proxy pour y simplifier l'accès). L'obscurantisme n'est pas idéal non plus, mais pour quelque chose d'aussi sensible que les objets routes et l'utilisation qui en est faite, de cacher ça derrière un VPN serait un moindre mal. (les cotisations du RIPE vont en prendre un sacré coup pour créer et faire le support des 22 000 VPN à mettre en place).


Jérôme

--
Jérôme Marteaux


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à