Interception de trafic chiffré visant un service Jabber chez Hetzner et Linode

 (notes.valdikss.org.ru)
1 points par GN⁺ 2023-10-21 | 1 commentaires | Partager sur WhatsApp
  • Article sur une interférence avec du trafic chiffré visant le plus grand service de messagerie XMPP (Jabber) russe chez Hetzner et Linode
  • L’interférence a été découverte en raison de l’expiration de l’un des certificats d’homme du milieu (MiTM)
  • Une redirection du trafic a été configurée sur le réseau des hébergeurs, sans signe de compromission des serveurs ni d’attaque par usurpation
  • L’écoute a pu durer jusqu’à 6 mois, avec 90 jours confirmés
  • L’attaque est supposée être une interférence légale qu’Hetzner et Linode auraient dû mettre en place
  • Un administrateur UNIX expérimenté a découvert l’interférence après avoir vu le message « Le certificat a expiré »
  • L’attaque a été confirmée comme une attaque d’homme du milieu interceptant des communications chiffrées
  • Les attaquants ont émis plusieurs certificats SSL/TLS via Let’s Encrypt pour les domaines jabber.ru et xmpp.ru après le 18 avril 2023
  • L’enquête a commencé le 18 octobre 2023 et l’attaque MiTM a cessé juste après la réalisation de tests réseau
  • Toutes les communications jabber.ru et xmpp.ru pendant cette période doivent être considérées comme compromises
  • Il est demandé aux utilisateurs de vérifier la présence de nouvelles clés OMEMO et PGP non autorisées dans le dépôt PEP et de changer leurs mots de passe
  • L’article propose plusieurs moyens de prévenir ou surveiller ce type d’attaque, comme configurer une surveillance de la transparence des certificats, limiter les méthodes de validation, surveiller les changements de certificats SSL/TLS sur tous les services, et surveiller les changements d’adresse MAC de la passerelle par défaut

À lire aussi

1 commentaires

 
GN⁺ 2023-10-21
Commentaire Hacker News
  • Article sur l’interception de trafic chiffré visant le service Jabber chez Hetzner et Linode
  • Certains commentaires indiquent que l’utilisation de mTLS (aka zero-trust) pourrait empêcher ce type d’attaque MITM (Man-in-the-Middle)
  • Suggestion, pour les cibles à haut risque, d’appliquer des mécanismes d’authentification supplémentaires ne dépendant pas d’une CA de confiance, comme les services onion de Tor, SSH et Wireguard
  • Mise en avant de l’importance de surveiller les changements de certificats SSL/TLS sur tous les services à l’aide de services externes
  • Certains commentaires estiment que l’attaque pourrait être liée à des enquêtes sur la cybercriminalité russe
  • L’utilisation de communications chiffrées de bout en bout comme OMEMO, OTR ou PGP est évoquée comme moyen de protection contre l’interception
  • Spéculations sur la possibilité d’une attaque Blue Pill, avec une vulnérabilité du serveur xmpp exploitée pour injecter un rootkit
  • Certains commentaires avancent que Jabber est visé parce qu’il est utilisé sur le marché noir pour des activités illégales
  • Mise en avant de la nécessité d’utiliser PGP pour les messages, au lieu de simplement faire confiance au chiffrement
  • Question soulevée quant à la possibilité que PGP soit brisé à l’avenir par des ordinateurs quantiques