PragmaSecurity-BGP-Cryptomonnaies

Arnaques, crimes et BGP

Ce matin, une cyberattaque de type MiTM (Man-in-the-Middle) a touché des détenteurs de portefeuilles virtuels de la cryptomonnaie Ethereum. Le malfaiteur menant l’attaque a usurpé 1300 adresses IP appartenant à Amazon. En ré-annonçant l’usurpation du bloc d’adresses IP, l’opérateur eNet a redirigé une partie des utilisateurs de MyEtherWallet vers un site corrompu à partir duquel le réseau hacker a pu récupéré leurs comptes et accès. 

Si aucun système n’empêche ce type d’attaques par usurpation via le protocole BGP et les serveurs, il est toutefois possible pour les opérateurs et réseaux Internet (détenteurs d’un numéro d’Autonomous System) d’être alerté et de remédier au plus vite à la fuite de leurs routes vers des tiers.  

Les faiblesses de BGP

Le trafic internet repose sur le procotol BGP (Border Gateway Protocol). Pour détenir sa propre infrastructure sur Internet, une organisation fait la demande d’un numéro d’AS et d’adresses IP auprès d’un RIR (Regional Internet Registry). Cela lui permet d’établir des sessions BGP avec le reste des réseaux évoluant sur Internet et ainsi d’annoncer et de recevoir du trafic. 

Cependant le modèle présente des failles. Rien n’empêche un AS d’être victime d’une erreur humaine de configuration des sessions ou d’une attaque malveillante préméditée par un AS tiers, ou encore de participer à la propagation d’annonces piratées. Bien que des mesures de sécurité pertinentes existent, celles-ci ne sont pas ou peu appliquées par les réseaux car leur mise en place n’est pas rendue obligatoire.

Pour en savoir plus sur ces mesures, nous vous invitons à visionner la vidéo de notre partenaire QRator Labs ci-dessous.

Les attaques sur les cryptomonnaies

Comme nous l’évoquions dans un précédent post sur les tendances des attaques en 2017 et prévisions pour 2018, le marché des cryptomonnaies se développe et attire de plus en plus l’intérêt des hackers.

Les attaques MiTM sont notamment l’outil privilégié pour voler les levées de fonds (ICO – Initial Coin Offerings) de starts-up. En Janvier dernier, le cabinet Ernst & Young évaluait le gain des hackers à déjà 1,5 million de dollars par mois

Le monitoring BGP pour une riposte rapide

Pour éviter d’être utilisé lors d’une attaque, les réseaux AS peuvent effectuer un suivi permanent des annonces de leurs routes sur Internet en utilisant notamment Radar, le service de monitoring proposé par notre partenaire QRator Labs.  

Radar recense toute anomalie par AS (BGP hijack, route leaking etc…) avec la possibilité d’alerter en temps réel le réseau attaqué. 

A partir de là, ce réseau dispose des informations nécessaires pour parer à la prolifération de la fuite et de l’usurpation. Le réseau peut en effet contacter l’AS pour qu’il corrige ses propres annonces (il peut en effet s’agir d’une erreur involontaire) mais aussi dénoncer le réseau hacker auprès de ses fournisseurs de transit IP. 

Capture d’écran du profil eNet sur Radar