Il y a plusieurs semaines, des milliers d’utilisateurs français se retrouvaient privés de connexion internet à la suite d'une cyberattaque massive contre le service d'accès à Internet fourni par le satellite géostationnaire.
Il avait rapidement été établi que ce n’était pas le satellite qui était en cause mais le réseau au sol qui a flanché à cause de l’attaque logicielle. On en connaît désormais la cause exacte.
Une cyberattaque via un VPN mal configuré
L’origine de la cyberattaque du satellite KA-SAT a enfin été expliquée. Ce mercredi 30 mars, l’opérateur Viasat a publié son rapport sur l'incident qui a brické des milliers de modems en Europe le 24 février dernier, soit le premier jour de la guerre en Ukraine. 10 000 utilisateurs et utilisatrices français avaient été touchés. L’enquête a finalement permis d’établir que les hackers ont exploité une faille de l’une des passerelles VPN afin d’obtenir un accès au centre de gestion du réseau.
À partir de là, les assaillants ont pu exécuter des commandes sur un certain nombre de modems résidentiels. Viasat, qui qualifie cet incident d’« attaque par déni de service ciblée », explique que ce sont plus précisément ces commandes qui « ont écrasé les données clés dans la mémoire flash des modems, rendant les modems incapables d'accéder au réseau, sans les rendre définitivement inutilisables ».
Les appareils concernés réutilisables
Une mauvaise configuration du VPN qui tourne à la catastrophe, mais qui ne concerne que les modems haut débit européens utilisant la marque de service Tooway. Les acteurs gouvernementaux et le grand public des autres régions n’ont pas été impactés. Quid du matériel des victimes ? Viasat a analysé plusieurs exemplaires des modems concernés et affirme n’avoir trouvé aucune anomalie concernant les composants électroniques, physiques et électriques de l’appareil. Aucune modification du logiciel ou des images du micrologiciel ne sont à déplorer. L’opérateur assure que « les modems peuvent être complètement restaurés via une réinitialisation d’usine ».
Depuis l’attaque, Viasat a travaillé main dans la main avec ses distributeurs pour restaurer tous les appareils des clients finaux. Dans certains cas une simple mise à jour a suffi, dans d’autres non. 30 000 nouveaux modems de remplacement ont été expédiés pour restaurer le service des utilisateurs. S’il n’est pas en contact direct avec les clients touchés, le fournisseur se dit prêt à faire le nécessaire pour celles et ceux qui n’auraient pas retrouvé leur connexion internet. En attendant, l’enquête poursuit son cours, avec l’aide de l’expert en cybersécurité Mandiant et des agences gouvernementales américaines.
Source : Viasat
