FRnOG 39 - Xavier Le Bris : RIPE Update
Category
🤖
TechnologieTranscription
00:00 Bonjour à tous. Alors la présentation est en anglais, mais je vais le faire en français.
00:05 Alors je suis Xavier Lebris, je travaille au RIPE NCC depuis un certain temps
00:11 et en fait maintenant ma fonction elle est plus au niveau du Registration Monitoring Department.
00:16 Donc ce que je vais faire comme mise à jour, c'est de parler en fait de tout ce qui s'est passé avec le 2FA
00:23 ou du moins les Factors Authentication pour se logger en fait sur les services du RIPE NCC.
00:29 Donc voilà, assez récemment, début janvier, il y a eu pas mal d'informations qui ont été passées sur des listes
00:38 à propos de leakage en fait, qui ont été faites par rapport à des comptes d'accès au service du RIPE NCC.
00:46 Alors voilà le détail. D'abord, pourquoi vous utilisez un compte du RIPE NCC ?
00:52 En fait ça peut être pour utiliser Atlas, RIPE Atlas par exemple.
00:57 Ça peut être parce que vous êtes membre et que vous voulez accéder au portal
01:00 ou ça peut être pour la RIPE Database.
01:02 Donc ça peut être des membres ou bien des utilisateurs qui ont un intérêt par exemple à accéder à tout ce qui est la formation du RIPE NCC.
01:11 Donc du coup, il y a à peu près 116 000 à compte au niveau utilisateur
01:19 et donc en janvier, il y en a eu 870 qui ont été diffusées sur des sites en ligne de propagation de ce genre d'informations.
01:28 Et du coup, sur ces 870, il y en a eu certains, il y en avait à peu près 107 qui étaient liés à des membres
01:35 et 8 qui ont été compromis.
01:38 Et du coup, ce que nous avons fait, c'est obligatoirement de mettre le 2FA en pratique.
01:44 Donc c'était depuis 2011 actif, donc il était possible de l'utiliser, mais par contre il n'était pas obligatoire.
01:52 Et donc là, à partir du 26 mars, ça a été mis obligatoire.
01:56 Donc à chaque fois que vous allez devoir vous loguer sur un des services du RIPE NCC, il va vous demander de l'activer.
02:04 Donc vous avez tout un rapport qui a été effectué, que vous voyez dans le lien tout en bas là,
02:11 au niveau du post-mortem, qui met tout un détail, ce qui s'est exactement passé
02:16 et ce que nous avons mis en place pour pouvoir mitiger l'attaque.
02:20 Donc là, en l'occurrence, les passwords ou les mots de passe qui avaient été divulgués,
02:26 ont été faits par le biais de brute force attaque.
02:32 Et du coup, 8 membres ont été impactés.
02:36 Donc ce que l'on a fait à partir de là, c'était de mettre en place,
02:42 de mettre à jour notre infrastructure, c'est à dire que tout était lié à Altazienne,
02:47 on avait une suite Altazienne qui faisait en fait le 2FA, mais qui n'était pas adapté au nouvel type d'authentication.
02:53 Et du coup, on a mis ça à jour, on utilise Keylog, donc le document qui est ici, le lab article qui a été écrit,
03:01 en fait il montre tout le côté technique.
03:04 Donc si vous voulez plus de détails, n'hésitez pas à utiliser le lien.
03:07 Alors après ça, qu'est-ce que nous avons fait pour pouvoir mitiger les attaques ?
03:14 En fait, c'était surtout regarder toute l'activité qui s'est passée sur certains comptes.
03:19 Donc on a regardé quels étaient les comptes qui avaient été changés assez récemment,
03:23 et à partir de là, de regarder s'il y avait de l'activité au niveau des ressources surtout.
03:26 C'est à dire s'il y avait des transferts à se passer, s'il y avait au niveau RPKI,
03:30 des entrées qui auraient pu être enlevées, des choses comme ça.
03:33 Donc à partir de là, ce que l'on a mis en place, c'est que le 2FA soit obligatoire.
03:40 Donc quand vous vous loguez, ce qui se passe, c'est que vous allez avoir un lien qui va vous être envoyé,
03:45 et à partir de là, vous pouvez le mettre en place par rapport au QR code que vous voyez,
03:51 et donc choisir un type d'authenticator.
03:54 Donc vous pouvez le choisir, à partir de là scanner le QR code,
03:59 et donc insérer votre device name, et de récupérer après ça les recovery code,
04:06 parce que vous en aurez besoin si jamais vous changez de téléphone ou des choses comme ça.
04:09 Donc ça c'est la partie pratique au niveau de l'implémentation.
04:16 Si on regarde un petit peu ce qui a été fait aussi pour vous aider à déterminer
04:20 qui est encore dans votre infrastructure, un de vos collègues par exemple,
04:24 qui ne serait pas à jour ou qui n'aurait pas activé MFA,
04:29 à ce moment là, ce serait possible par le biais du LAR Portal.
04:32 Donc quand vous vous connectez sur le portal, vous avez la possibilité de voir qui n'est pas encore en 2FA.
04:39 Donc ça c'est important pour pouvoir vérifier que tout le monde soit bien à jour,
04:42 et que ce ne soit pas vraiment une forme d'attaque potentielle sur votre database au niveau du RIPE.
04:50 Pareil, ce qui est important aussi ici, c'est de vérifier que les gens qui ont accès au portal
04:57 sont bien à jour en fait.
05:00 Parce qu'il y a énormément de contacts qui ont été mis dans la database il y a assez longtemps,
05:06 ils sont toujours là, vus comme potentiellement habilités à faire des changements.
05:10 Donc vérifiez bien que tous vos contacts soient bien à jour,
05:14 et enlevez-les bien sûr quand ils ne sont pas à jour.
05:17 L'autre chose qui est super importante, c'est au niveau des emails que vous utilisez
05:22 pour créer vos RIPE NCC access accounts, évitez les listes de diffusion.
05:26 Parce qu'à partir de là, s'il y a des changements qui s'opèrent dans le LER Portal,
05:30 vous allez pouvoir avoir des logs que simplement sur la liste de diffusion,
05:34 non pas la personne que vous avez invité.
05:36 Donc inviter individuellement les personnes avec leurs emails,
05:40 c'est utiliser simplement en interne, et à partir de là,
05:43 vous aurez beaucoup moins de soucis pour définir qui a fait quoi.
05:46 Donc ça c'est la partie un peu pratique, donc il est possible de voir qui est activé.
05:53 Si on regarde un petit peu les stats depuis l'implémentation des 2FA en fait,
05:59 si on regarde à peu près les membres, il y a à peu près 45 000 comptes de membres,
06:09 de RIPE NCC access accounts, qui sont liés à des membres.
06:14 Et il y a à peu près 42% qui ont mis à jour en 2FA,
06:19 si on regarde sur la période depuis fin mars jusqu'à maintenant,
06:24 c'est à peu près 1 600 comptes.
06:26 Donc le RIPE NCC essaye, en étant proactif, de contacter les membres
06:31 et leur dire par le biais d'Audit ou d'ARC, ça s'appelle comme ça,
06:34 d'activer ceci, mais bon, c'est toujours bien de vérifier aussi par vous-même.
06:41 Plus d'informations, si jamais dans le futur vous avez des besoins
06:47 qui sont par exemple des types d'authenticators qui ne seraient pas inclus pour le moment,
06:51 il est possible de nous envoyer les feature requests.
06:55 Ceci, ce sera publié aussi dans les quarterly reports,
07:00 donc tous les trimestres, il y a un rapport qui est défini à la communauté en fait,
07:05 pour définir ce qu'on va mettre à jour au niveau de notre software
07:08 et à partir de là, ce qui va se passer dans le temps à venir,
07:13 et donc de pouvoir tester les choses.
07:15 Donc ça, c'est pour le futur développement,
07:19 donc n'hésitez pas à nous faire part de vos demandes ou besoins.
07:23 Une petite update que je voulais vous rappeler,
07:27 c'est qu'il y a des votes qui sont super importants qui vont venir en mai.
07:30 Donc du 22 au 24 mai, il va y avoir l'assemblée générale du RIPE NCC,
07:38 qui va se passer à Cracow, mais bien sûr, vous pouvez le faire par le biais du portal,
07:42 et donc de voter à distance si vous le désirez.
07:44 Ce que vous allez voter, ça va être pour les fees, le charging scheme,
07:49 et aussi pour deux boards qui vont changer,
07:51 et autrement pour deux résolutions.
07:53 Donc n'oubliez pas ceci, c'est super important,
07:57 et à partir de là, il y a à l'heure actuelle trois modèles qui sont,
08:03 pour financer en fait le RIPE NCC, qui sont à voter,
08:07 et voilà la majorité des infos, vous pouvez les avoir en ligne aussi,
08:14 il y a eu des discussions qui sont passées sur Member Discuss,
08:17 c'est la liste de diffusion pour que les membres puissent participer,
08:20 c'est toujours actif, donc émettez aussi vos besoins si vous en avez,
08:26 et définissez ce que vous voulez, mais le plus important,
08:28 c'est vraiment de voter pour montrer ce que vous voulez vraiment pour le futur.
08:31 À partir de là, je ne sais pas si vous avez des questions pour moi,
08:35 parce que j'arrive au bout de ma présentation.
08:38 - Bravo.
08:39 - Il y a une minute.
08:41 - Allez-y.
08:43 - Il y en a une tout là-bas.
08:45 - Justement, en parlant des changements de financement
08:56 suite au prochain Général Meeting,
08:59 vis-à-vis des propositions qui nous ont faites,
09:01 par rapport au dernier élément, il en manque quand même une,
09:04 celle de rester sur le financement actuel,
09:07 donc quand on nous demande un choix qui est un choix totalement biaisé,
09:11 excusez-moi, mais ça pose quand même d'énormes questions,
09:14 et je pense que beaucoup de personnes dans l'auditoire sont de cet avis.
09:18 - Merci pour le retour d'informations,
09:20 c'est bien ce qui apparaît sur la liste de diffusion,
09:23 sur la liste de "member discuss",
09:25 et moi, je travaille pour le secrétariat,
09:28 je n'ai pas d'avis réellement dessus,
09:30 et je comprends tout à fait ce que vous dites.
09:32 - OK, très bien.
09:34 C'était plus une remarque qu'une question.
09:36 Merci.
09:37 (Applaudissements)