Re: [FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-06 Par sujet Julien Escario 

Le 06/01/2024 à 02:11, ml-fr...@srv.mx a écrit :

Bonsoir,

Pour Okta, pas besoin de spammer le MFA apparement 
https://www.reuters.com/technology/cybersecurity/okta-says-hackers-stole-data-all-customer-support-users-cyber-breach-2023-11-29/ :D


Cdlt


Encore ? Le nom me disait quelque chose : ils se sont fait tapés déjà en 
2022.


https://twitter.com/BillDemirkapi/status/1506107157124722690

C'est moi où une faille majeure par année ça commence à faire beaucoup 
pour une boite de sécu ?


Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-05 Par sujet Willy Manga 

.

On 06/01/2024 00:40, Jérôme Marteaux wrote:

[...]
C'est beaucoup moins souple qu'Internet, mais ça ajoute une couche de 
sécurité (ça n'empêche pas ceux qui mettent en place du NAT/reverse 
proxy pour y simplifier l'accès).
L'obscurantisme n'est pas idéal non plus, mais pour quelque chose 
d'aussi sensible que les objets routes et l'utilisation qui en est 
faite, de cacher ça derrière un VPN serait un moindre mal.


La sécurité dépendra toujours du maillon le plus faible qui est 
généralement l'utilisateur des systèmes. A mon humble avis, l'éducation 
et la sensibilisation des utilisateurs est à toujours considérer 
sérieusement.


Après bien sur on diversifie les voies et moyens pour sécuriser les 
données et le moyen de transport et réagir face aux incidents.


Le VPN strictement parlant n'est pas ce qui apporte de la sécurité.

--
Willy Manga
@ongolaboy
https://ongola.blogspot.com/


OpenPGP_signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-05 Par sujet ml-frnog 

Bonsoir,

Pour Okta, pas besoin de spammer le MFA apparement 
https://www.reuters.com/technology/cybersecurity/okta-says-hackers-stole-data-all-customer-support-users-cyber-breach-2023-11-29/ 
:D


Cdlt

Le 05/01/2024 à 20:18, N R a écrit :

Bonsoir monde,
C'est vrai qu'avec l'exemple de Lapsus$ qui bombardait l'utilisateur⋅ice de
notifications MFA jusqu'à ce qu'il ou elle cède et leur succès à infiltrer
Micromou, Okta ou Nvidia, ça valide l'effet "sécurité qui rajoute des
trous" du MFA.

Je plussoie au constat que c'est devenu délirant, peut-être un vrai effet
NoCode, il n'y a pas besoin de compétences particulière pour compromettre
des infrastructures critiques, voir aussi l'exemple InfraGard infiltrée par
USDoD.

[2 cents Vendredi]
À toujours proposer des solutions techniques à des problèmes foncièrement
humains, on fragilise l'infrastructure et l'humanité d'un coup.
Globalement j'ai la sensation aussi que la sécurité c'est toujours pour se
rassurer ou un problème pour les autres.
[\0/]

Après, c'est sûr que mettre du MFA et un mot de passe un poil plus
résistant à du bruteforce (post-quantum everything toussah) sur des
interfaces critiques et exposées ça protège du tout-venant.
L'OTP c'est bien aussi quand c'est bien fait, ou les jetons physiques genre
Yubikey, Onlykey...

Nicolas 'Kholah' Randrianarisoa

Le ven. 5 janv. 2024 à 12:05, Stephane Bortzmeyer  a
écrit :


On Thu, Jan 04, 2024 at 09:39:15AM +0100,
  David Ponzone  wrote
  a message of 21 lines which said:


Allez, activation du MFA partout sur RIPE (et les autres RIRs),

histoire

que au moins on remette le besoin d'un acces a un device physique

(router

ou token) pour continuer a casser notre bel outil.


Pas forcément, si tu caches mal ton emergency code :)


Ou si on se laisse prendre à de l'ingéniérie sociale. Le MFA est
évidemment impératif pour les comptes au RIPE mais ce n'est pas une
solution miracle.

La leçon que j'en tirerai est plutôt « toute technique de sécurité
peut être détournée pour créer une attaque par déni de service ».


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-05 Par sujet Maxime DERCHE 

Bonjour,

Le 05/01/2024 à 12:04, Stephane Bortzmeyer a écrit :

On Thu, Jan 04, 2024 at 09:39:15AM +0100,
  David Ponzone  wrote
  a message of 21 lines which said:


Allez, activation du MFA partout sur RIPE (et les autres RIRs), histoire
que au moins on remette le besoin d'un acces a un device physique (router
ou token) pour continuer a casser notre bel outil.


Pas forcément, si tu caches mal ton emergency code :)


Ou si on se laisse prendre à de l'ingéniérie sociale. Le MFA est
évidemment impératif pour les comptes au RIPE mais ce n'est pas une
solution miracle.

La leçon que j'en tirerai est plutôt « toute technique de sécurité
peut être détournée pour créer une attaque par déni de service ».


En 2024, on a largement les moyens de gérer de l'identité numérique bien au-delà de 
la stricte frontière du service externalisé.


Il suffirait que ce service centralisé autorise une identité décentralisée.

Cela ne coûte pas très cher, et met en lumière un fait qui devrait frapper comme une 
évidence : le service externalisé, quel qu'il soit, OIV ou pas, n'a pas à s'engager 
sur le contrôle de l'identité de gens qu'il ne connaît pas...


MFA si tu veux, mais pour une identité gérée en interne et diffusée partout. Là tu 
commences à obtenir des garanties te mettant à l'abri des saloperies interstitielles.


(Et Bonne-Mère, la gestion de l'identité n'est *pas* une "technique de sécurité" 
prétendument isolée du reste de la gestion du système d'information. C'est un 
composant du système d'information, géré comme tout le reste. La sécurité n'est ni 
une fonctionnalité ni un gagne-pain, c'est le critère qui discrimine les imbéciles.)



Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature.asc
Description: OpenPGP digital signature

[FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-05 Par sujet David Ponzone 


> Le 5 janv. 2024 à 22:23, Stephane Bortzmeyer  a écrit :
> 
> On Fri, Jan 05, 2024 at 08:27:13PM +0100,
> David Ponzone  wrote 
> a message of 43 lines which said:
> 
>> On parle aussi des popups incessantes à cause des cookies, qui
>> provoquent agacement, donc on finit par cliquer sans même avoir lu
>> quoi que ce soit ?
> 
> Euh, ce qui est agaçant, ce sont les cookies, pas
> l'avertissement. Tant mieux si ces avertissements font prendre
> conscience aux utilisateurs de l'ampleur de la surveillance.

Euh on fait un sondage auprès de l’utilisateur moyen pour savoir si il sait de 
quoi il s’agit ?
Et si il réfléchit avant de cliquer, sachant que les popups sont soit en all 
par défaut, soit strict minimum, soit rien, mais majoritairement c’est all par 
défaut, et il y a plusieurs dispositions donc on a vite fait de cliquer où il 
fallait pas pour se débarrasser de la popup (encore une fois, je me mets à la 
place du end-user, tel que j’en vois autour de moi).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-05 Par sujet Stephane Bortzmeyer 
On Fri, Jan 05, 2024 at 08:27:13PM +0100,
 David Ponzone  wrote 
 a message of 43 lines which said:

> On parle aussi des popups incessantes à cause des cookies, qui
> provoquent agacement, donc on finit par cliquer sans même avoir lu
> quoi que ce soit ?

Euh, ce qui est agaçant, ce sont les cookies, pas
l'avertissement. Tant mieux si ces avertissements font prendre
conscience aux utilisateurs de l'ampleur de la surveillance.

Et si on n'a pas envie de cliquer :

https://addons.mozilla.org/en-US/firefox/addon/cookie-cutter-gdpr-auto-deny/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-05 Par sujet Jérôme Marteaux 

Le 05/01/2024 à 20:18, N R a écrit :

Bonsoir monde,
C'est vrai qu'avec l'exemple de Lapsus$ qui bombardait l'utilisateur⋅ice de
notifications MFA jusqu'à ce qu'il ou elle cède et leur succès à infiltrer
Micromou, Okta ou Nvidia, ça valide l'effet "sécurité qui rajoute des
trous" du MFA.

Je plussoie au constat que c'est devenu délirant, peut-être un vrai effet
NoCode, il n'y a pas besoin de compétences particulière pour compromettre
des infrastructures critiques, voir aussi l'exemple InfraGard infiltrée par
USDoD.

[2 cents Vendredi]
À toujours proposer des solutions techniques à des problèmes foncièrement
humains, on fragilise l'infrastructure et l'humanité d'un coup.
Globalement j'ai la sensation aussi que la sécurité c'est toujours pour se
rassurer ou un problème pour les autres.
[\0/]

Après, c'est sûr que mettre du MFA et un mot de passe un poil plus
résistant à du bruteforce (post-quantum everything toussah) sur des
interfaces critiques et exposées ça protège du tout-venant.
L'OTP c'est bien aussi quand c'est bien fait, ou les jetons physiques genre
Yubikey, Onlykey...

Nicolas 'Kholah' Randrianarisoa

Le ven. 5 janv. 2024 à 12:05, Stephane Bortzmeyer  a
écrit :


On Thu, Jan 04, 2024 at 09:39:15AM +0100,
  David Ponzone  wrote
  a message of 21 lines which said:


Allez, activation du MFA partout sur RIPE (et les autres RIRs),

histoire

que au moins on remette le besoin d'un acces a un device physique

(router

ou token) pour continuer a casser notre bel outil.


Pas forcément, si tu caches mal ton emergency code :)


Ou si on se laisse prendre à de l'ingéniérie sociale. Le MFA est
évidemment impératif pour les comptes au RIPE mais ce n'est pas une
solution miracle.

La leçon que j'en tirerai est plutôt « toute technique de sécurité
peut être détournée pour créer une attaque par déni de service ».



Ou alors faut-il passer à l'étape d'après et faire un réseau dédié au 
RIPE comme celui du GIE EGP (portabilité des mobiles) ou de l'APNF 
(portabilité fixe) ou de SWIFT (bancaire).
Les machines qui gèrent ces échanges entre opérateurs sont uniquement 
accessible via un VPN.


C'est beaucoup moins souple qu'Internet, mais ça ajoute une couche de 
sécurité (ça n'empêche pas ceux qui mettent en place du NAT/reverse 
proxy pour y simplifier l'accès).
L'obscurantisme n'est pas idéal non plus, mais pour quelque chose 
d'aussi sensible que les objets routes et l'utilisation qui en est 
faite, de cacher ça derrière un VPN serait un moindre mal.
(les cotisations du RIPE vont en prendre un sacré coup pour créer et 
faire le support des 22 000 VPN à mettre en place).



Jérôme

--
Jérôme Marteaux


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-05 Par sujet N R 
Bonsoir monde,
C'est vrai qu'avec l'exemple de Lapsus$ qui bombardait l'utilisateur⋅ice de
notifications MFA jusqu'à ce qu'il ou elle cède et leur succès à infiltrer
Micromou, Okta ou Nvidia, ça valide l'effet "sécurité qui rajoute des
trous" du MFA.

Je plussoie au constat que c'est devenu délirant, peut-être un vrai effet
NoCode, il n'y a pas besoin de compétences particulière pour compromettre
des infrastructures critiques, voir aussi l'exemple InfraGard infiltrée par
USDoD.

[2 cents Vendredi]
À toujours proposer des solutions techniques à des problèmes foncièrement
humains, on fragilise l'infrastructure et l'humanité d'un coup.
Globalement j'ai la sensation aussi que la sécurité c'est toujours pour se
rassurer ou un problème pour les autres.
[\0/]

Après, c'est sûr que mettre du MFA et un mot de passe un poil plus
résistant à du bruteforce (post-quantum everything toussah) sur des
interfaces critiques et exposées ça protège du tout-venant.
L'OTP c'est bien aussi quand c'est bien fait, ou les jetons physiques genre
Yubikey, Onlykey...

Nicolas 'Kholah' Randrianarisoa

Le ven. 5 janv. 2024 à 12:05, Stephane Bortzmeyer  a
écrit :

> On Thu, Jan 04, 2024 at 09:39:15AM +0100,
>  David Ponzone  wrote
>  a message of 21 lines which said:
>
> > > Allez, activation du MFA partout sur RIPE (et les autres RIRs),
> histoire
> > > que au moins on remette le besoin d'un acces a un device physique
> (router
> > > ou token) pour continuer a casser notre bel outil.
> >
> > Pas forcément, si tu caches mal ton emergency code :)
>
> Ou si on se laisse prendre à de l'ingéniérie sociale. Le MFA est
> évidemment impératif pour les comptes au RIPE mais ce n'est pas une
> solution miracle.
>
> La leçon que j'en tirerai est plutôt « toute technique de sécurité
> peut être détournée pour créer une attaque par déni de service ».
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain

2024-01-05 Par sujet Stephane Bortzmeyer 
On Thu, Jan 04, 2024 at 09:39:15AM +0100,
 David Ponzone  wrote 
 a message of 21 lines which said:

> > Allez, activation du MFA partout sur RIPE (et les autres RIRs), histoire
> > que au moins on remette le besoin d'un acces a un device physique (router
> > ou token) pour continuer a casser notre bel outil.
> 
> Pas forcément, si tu caches mal ton emergency code :)

Ou si on se laisse prendre à de l'ingéniérie sociale. Le MFA est
évidemment impératif pour les comptes au RIPE mais ce n'est pas une
solution miracle.

La leçon que j'en tirerai est plutôt « toute technique de sécurité
peut être détournée pour créer une attaque par déni de service ».


---
Liste de diffusion du FRnOG
http://www.frnog.org/