L’opérateur mobile Vodafone Portugal visé par une cyberattaque de grande ampleur sur la 4G/5G
Cette situation affecte la fourniture de services basés sur les réseaux de données, à savoir le réseau 4G/5G, la voix fixe, la télévision, les SMS et les services de réponse vocale/numérique. La population du Portugal dépasse à peine 10 millions d'habitants.
Dans la nuit du lundi 7 au mardi 8 février, la filiale portugaise de l’opérateur mobile britannique Vodafone (le deuxième du monde en nombre d’abonnés derrière China Mobile) a été victime d’une attaque informatique, “laissant de nombreux services essentiels, comme les pompiers, le Samu et des hôpitaux dans l’impossibilité de recevoir des appels ou des SMS”, rapporte Público. L’attaque a touché des millions de personnes et visait à rendre Vodafone Portugal inopérant.
Vodafone Portugal fournit des services de fibre optique à 3,4 millions de foyers et d’entreprises portugaises et compte 4,7 millions de clients de téléphonie mobile.
Le groupe Cofina, propriétaire de plusieurs médias au Portugal, a subi une attaque catastrophique de ransomware de la part d’un gang de cybercriminels relativement nouveau nommé Lapsus$ group. Selon le courrier international, en janvier, une attaque d’ampleur avait déjà atteint la SIC, la première chaîne portugaise en termes d’audience, ainsi qu’Expresso, principal hebdomadaire du Portugal, les deux médias faisant partie du même groupe Imprensa, qui peine à se relever depuis. Et pour cause : des millions d’archives ont été détruites. Dans un article intitulé “Hackeurs : quand le plan est de tuer le messager”, Expresso avait dénoncé “la plus grande atteinte à la liberté de la presse depuis le 25 avril” (date de la “révolution des œillets”, en 1974), attribuant l’attaque à un groupe de pirates espagnols et sud-américains. Le parlement du pays enquête également sur un possible incident de piratage contre son propre site Web lors des élections nationales du 30 janvier.
À l’heure où beaucoup de pays coupent leurs réseaux 3G, les services vocaux mobiles et les services de données mobiles ont été récupérés et sont disponibles exclusivement sur le réseau 3G dans presque tout le pays mais, malheureusement, l’ampleur et la gravité de l’acte criminel auquel nous avons été soumis impliquent un travail minutieux et prolongé pour tous les autres services. Le processus de récupération implique de multiples équipes nationales et internationales et des partenaires externes. Cette reprise se fera progressivement tout au long de cette semaine.
Bien que Vodafone n’ait pas divulgué les détails de l’attaque, des chercheurs de la communauté du renseignement sur les menaces ont déclaré à BleepingComputer qu’ils pensaient qu’il s’agissait d’une attaque de ransomware.
Pas la première fois
En 2020, des milliers de clients de T-Mobile, Metro by T-Mobile, AT&T, Verizon et Sprint ont tous signalé des pannes dans des régions telles que la Floride, la Géorgie, New York et la Californie lundi après-midi. Les perturbations faisaient partie d’une attaque par déni de service distribué à grande échelle, ou DDoS, destinée à submerger un service en ligne avec plusieurs sources de trafic pour le rendre inutilisable. Près de 100 000 clients de T-Mobile ont affirmé avoir des problèmes de téléphone. Digital Attack Map a partagé une visualisation de la violation à grande échelle qui comprenait plus de 200 attaques dirigées contre les États-Unis.
2022 apportera sans aucun doute une augmentation du nombre et de la sophistication des cyberattaques des États-nations sur les infrastructures de télécommunications mobiles. Alors que les tensions entre les courtiers en puissance mondiaux s’intensifient dans des points chauds tels que Taïwan, l’Ukraine et le Kazakhstan, la valeur des réseaux mobiles en tant que cible d’espionnage et de perturbation va monter en flèche. En outre, la convergence IT/OT/telco et la surface d’attaque étendue de la 5G, y compris les faiblesses 2G, 3G et 4G, fourniront toutes un terrain propice pour atteindre des objectifs géopolitiques via la cyberguerre.
Des protocoles de cryptage complexes, tels que le QUIC de Google, basé sur UDP, étaient destinés à assurer la sécurité des abonnés et à améliorer les performances Web et vidéo. Et ils l’ont fait. Mais ils ont laissé les opérateurs se démener pour maintenir la visibilité du trafic dont ils ont besoin pour rester dans le jeu. Selon les analystes, il faut s’attendre à plus de problèmes à l’avenir, car UDP domine le trafic et les nouveaux protocoles de cryptage comme eSNI et DoH/DoT deviennent la norme.
____