Re: [FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-06 Par sujet Julien Escario 

Le 06/01/2024 à 02:11, ml-fr...@srv.mx a écrit :

Bonsoir,

Pour Okta, pas besoin de spammer le MFA apparement 
https://www.reuters.com/technology/cybersecurity/okta-says-hackers-stole-data-all-customer-support-users-cyber-breach-2023-11-29/ :D


Cdlt


Encore ? Le nom me disait quelque chose : ils se sont fait tapés déjà en 
2022.


https://twitter.com/BillDemirkapi/status/1506107157124722690

C'est moi où une faille majeure par année ça commence à faire beaucoup 
pour une boite de sécu ?


Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-05 Par sujet Willy Manga 

.

On 06/01/2024 00:40, Jérôme Marteaux wrote:

[...]
C'est beaucoup moins souple qu'Internet, mais ça ajoute une couche de 
sécurité (ça n'empêche pas ceux qui mettent en place du NAT/reverse 
proxy pour y simplifier l'accès).
L'obscurantisme n'est pas idéal non plus, mais pour quelque chose 
d'aussi sensible que les objets routes et l'utilisation qui en est 
faite, de cacher ça derrière un VPN serait un moindre mal.


La sécurité dépendra toujours du maillon le plus faible qui est 
généralement l'utilisateur des systèmes. A mon humble avis, l'éducation 
et la sensibilisation des utilisateurs est à toujours considérer 
sérieusement.


Après bien sur on diversifie les voies et moyens pour sécuriser les 
données et le moyen de transport et réagir face aux incidents.


Le VPN strictement parlant n'est pas ce qui apporte de la sécurité.

--
Willy Manga
@ongolaboy
https://ongola.blogspot.com/


OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-05 Par sujet ml-frnog 

Bonsoir,

Pour Okta, pas besoin de spammer le MFA apparement 
https://www.reuters.com/technology/cybersecurity/okta-says-hackers-stole-data-all-customer-support-users-cyber-breach-2023-11-29/ 
:D


Cdlt

Le 05/01/2024 à 20:18, N R a écrit :

Bonsoir monde,
C'est vrai qu'avec l'exemple de Lapsus$ qui bombardait l'utilisateur⋅ice de
notifications MFA jusqu'à ce qu'il ou elle cède et leur succès à infiltrer
Micromou, Okta ou Nvidia, ça valide l'effet "sécurité qui rajoute des
trous" du MFA.

Je plussoie au constat que c'est devenu délirant, peut-être un vrai effet
NoCode, il n'y a pas besoin de compétences particulière pour compromettre
des infrastructures critiques, voir aussi l'exemple InfraGard infiltrée par
USDoD.

[2 cents Vendredi]
À toujours proposer des solutions techniques à des problèmes foncièrement
humains, on fragilise l'infrastructure et l'humanité d'un coup.
Globalement j'ai la sensation aussi que la sécurité c'est toujours pour se
rassurer ou un problème pour les autres.
[\0/]

Après, c'est sûr que mettre du MFA et un mot de passe un poil plus
résistant à du bruteforce (post-quantum everything toussah) sur des
interfaces critiques et exposées ça protège du tout-venant.
L'OTP c'est bien aussi quand c'est bien fait, ou les jetons physiques genre
Yubikey, Onlykey...

Nicolas 'Kholah' Randrianarisoa

Le ven. 5 janv. 2024 à 12:05, Stephane Bortzmeyer  a
écrit :


On Thu, Jan 04, 2024 at 09:39:15AM +0100,
  David Ponzone  wrote
  a message of 21 lines which said:


Allez, activation du MFA partout sur RIPE (et les autres RIRs),

histoire

que au moins on remette le besoin d'un acces a un device physique

(router

ou token) pour continuer a casser notre bel outil.


Pas forcément, si tu caches mal ton emergency code :)


Ou si on se laisse prendre à de l'ingéniérie sociale. Le MFA est
évidemment impératif pour les comptes au RIPE mais ce n'est pas une
solution miracle.

La leçon que j'en tirerai est plutôt « toute technique de sécurité
peut être détournée pour créer une attaque par déni de service ».


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-05 Par sujet Maxime DERCHE 

Bonjour,

Le 05/01/2024 à 12:04, Stephane Bortzmeyer a écrit :

On Thu, Jan 04, 2024 at 09:39:15AM +0100,
  David Ponzone  wrote
  a message of 21 lines which said:


Allez, activation du MFA partout sur RIPE (et les autres RIRs), histoire
que au moins on remette le besoin d'un acces a un device physique (router
ou token) pour continuer a casser notre bel outil.


Pas forcément, si tu caches mal ton emergency code :)


Ou si on se laisse prendre à de l'ingéniérie sociale. Le MFA est
évidemment impératif pour les comptes au RIPE mais ce n'est pas une
solution miracle.

La leçon que j'en tirerai est plutôt « toute technique de sécurité
peut être détournée pour créer une attaque par déni de service ».


En 2024, on a largement les moyens de gérer de l'identité numérique bien au-delà de 
la stricte frontière du service externalisé.


Il suffirait que ce service centralisé autorise une identité décentralisée.

Cela ne coûte pas très cher, et met en lumière un fait qui devrait frapper comme une 
évidence : le service externalisé, quel qu'il soit, OIV ou pas, n'a pas à s'engager 
sur le contrôle de l'identité de gens qu'il ne connaît pas...


MFA si tu veux, mais pour une identité gérée en interne et diffusée partout. Là tu 
commences à obtenir des garanties te mettant à l'abri des saloperies interstitielles.


(Et Bonne-Mère, la gestion de l'identité n'est *pas* une "technique de sécurité" 
prétendument isolée du reste de la gestion du système d'information. C'est un 
composant du système d'information, géré comme tout le reste. La sécurité n'est ni 
une fonctionnalité ni un gagne-pain, c'est le critère qui discrimine les imbéciles.)



Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-05 Par sujet Jérôme Marteaux 

Le 05/01/2024 à 20:18, N R a écrit :

Bonsoir monde,
C'est vrai qu'avec l'exemple de Lapsus$ qui bombardait l'utilisateur⋅ice de
notifications MFA jusqu'à ce qu'il ou elle cède et leur succès à infiltrer
Micromou, Okta ou Nvidia, ça valide l'effet "sécurité qui rajoute des
trous" du MFA.

Je plussoie au constat que c'est devenu délirant, peut-être un vrai effet
NoCode, il n'y a pas besoin de compétences particulière pour compromettre
des infrastructures critiques, voir aussi l'exemple InfraGard infiltrée par
USDoD.

[2 cents Vendredi]
À toujours proposer des solutions techniques à des problèmes foncièrement
humains, on fragilise l'infrastructure et l'humanité d'un coup.
Globalement j'ai la sensation aussi que la sécurité c'est toujours pour se
rassurer ou un problème pour les autres.
[\0/]

Après, c'est sûr que mettre du MFA et un mot de passe un poil plus
résistant à du bruteforce (post-quantum everything toussah) sur des
interfaces critiques et exposées ça protège du tout-venant.
L'OTP c'est bien aussi quand c'est bien fait, ou les jetons physiques genre
Yubikey, Onlykey...

Nicolas 'Kholah' Randrianarisoa

Le ven. 5 janv. 2024 à 12:05, Stephane Bortzmeyer  a
écrit :


On Thu, Jan 04, 2024 at 09:39:15AM +0100,
  David Ponzone  wrote
  a message of 21 lines which said:


Allez, activation du MFA partout sur RIPE (et les autres RIRs),

histoire

que au moins on remette le besoin d'un acces a un device physique

(router

ou token) pour continuer a casser notre bel outil.


Pas forcément, si tu caches mal ton emergency code :)


Ou si on se laisse prendre à de l'ingéniérie sociale. Le MFA est
évidemment impératif pour les comptes au RIPE mais ce n'est pas une
solution miracle.

La leçon que j'en tirerai est plutôt « toute technique de sécurité
peut être détournée pour créer une attaque par déni de service ».



Ou alors faut-il passer à l'étape d'après et faire un réseau dédié au 
RIPE comme celui du GIE EGP (portabilité des mobiles) ou de l'APNF 
(portabilité fixe) ou de SWIFT (bancaire).
Les machines qui gèrent ces échanges entre opérateurs sont uniquement 
accessible via un VPN.


C'est beaucoup moins souple qu'Internet, mais ça ajoute une couche de 
sécurité (ça n'empêche pas ceux qui mettent en place du NAT/reverse 
proxy pour y simplifier l'accès).
L'obscurantisme n'est pas idéal non plus, mais pour quelque chose 
d'aussi sensible que les objets routes et l'utilisation qui en est 
faite, de cacher ça derrière un VPN serait un moindre mal.
(les cotisations du RIPE vont en prendre un sacré coup pour créer et 
faire le support des 22 000 VPN à mettre en place).



Jérôme

--
Jérôme Marteaux


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-05 Par sujet N R 
Bonsoir monde,
C'est vrai qu'avec l'exemple de Lapsus$ qui bombardait l'utilisateur⋅ice de
notifications MFA jusqu'à ce qu'il ou elle cède et leur succès à infiltrer
Micromou, Okta ou Nvidia, ça valide l'effet "sécurité qui rajoute des
trous" du MFA.

Je plussoie au constat que c'est devenu délirant, peut-être un vrai effet
NoCode, il n'y a pas besoin de compétences particulière pour compromettre
des infrastructures critiques, voir aussi l'exemple InfraGard infiltrée par
USDoD.

[2 cents Vendredi]
À toujours proposer des solutions techniques à des problèmes foncièrement
humains, on fragilise l'infrastructure et l'humanité d'un coup.
Globalement j'ai la sensation aussi que la sécurité c'est toujours pour se
rassurer ou un problème pour les autres.
[\0/]

Après, c'est sûr que mettre du MFA et un mot de passe un poil plus
résistant à du bruteforce (post-quantum everything toussah) sur des
interfaces critiques et exposées ça protège du tout-venant.
L'OTP c'est bien aussi quand c'est bien fait, ou les jetons physiques genre
Yubikey, Onlykey...

Nicolas 'Kholah' Randrianarisoa

Le ven. 5 janv. 2024 à 12:05, Stephane Bortzmeyer  a
écrit :

> On Thu, Jan 04, 2024 at 09:39:15AM +0100,
>  David Ponzone  wrote
>  a message of 21 lines which said:
>
> > > Allez, activation du MFA partout sur RIPE (et les autres RIRs),
> histoire
> > > que au moins on remette le besoin d'un acces a un device physique
> (router
> > > ou token) pour continuer a casser notre bel outil.
> >
> > Pas forcément, si tu caches mal ton emergency code :)
>
> Ou si on se laisse prendre à de l'ingéniérie sociale. Le MFA est
> évidemment impératif pour les comptes au RIPE mais ce n'est pas une
> solution miracle.
>
> La leçon que j'en tirerai est plutôt « toute technique de sécurité
> peut être détournée pour créer une attaque par déni de service ».
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/