A la rentrée de Septembre, le fabricant Fortinet a passé une alerte singulière. Non pas pour annoncer une vulnérabilité nouvelle dans ses firewalls Fortigate, mais pour rappeler une fois encore une ancienne vulnérabilité, connue depuis 2018, pour laquelle les correctifs existent désormais depuis longtemps.

Que s’est-il passé de nouveau ? En fait, c’est une brouille dans un groupe de pirate qui semble être à l’origine de ce petit soubressaut. Il semblerait que suite à l’utilisation d’un ransomware de mauvaise qualité, le groupe Babuk ait bloqué de façon irrémédiable ses « clients », c’est à dire les victimes qui auraient été prêtes à payer une rançon.

Rien de tel pour altérer l’image de groupe rançonneur respectable : si le « client » n’a pas confiance dans le fait qu’il récupérera ses données, pourquoi payer une rançon ?

Ce croustillant billet de blog raconte l’histoire d’une querelle entre groupes pirates, la concurrence entre pirates, le partage du butin entre le code source du malware, le nom du domaine d’un forum underground établi.

Le lien avec nos firewall ? Le syndicat de pirate « Groove » a publié une liste de triplets IP/login/mot de passe, de comptes de VPN SSL nomade sur des appareils Fortigate. Manifestement, cette divulgation a pour intention de nuire au groupe de pirate Babuk en dévoilant une partie de son butin. D’où viennent ces informations ? D’après Fortinet, elles ont été exfiltrées grâce à l’ancienne et fameuse vulnérabilité de 2018.

En quoi sommes nous concernés ? A priori, nous sommes tous protégés car :

• qui aurait en 2021 un appareil pas encore mis à jour depuis 2018 ?
• Et les mots de passe éventuellement exfiltrés en 2019 ont déjà été renouvelés au moins une ou deux fois après mise à jour de l’appareil. Car bien sûr, ces mots de passe là aussi ont leur droit à la retraite, et en l’occurence 12 mois semble un bon compromis.

Ce fait divers nous donne surtout un petit aperçu du monde du dark web, et une occasion de rappeler encore quelques règles d’hygiène numérique de base !