Actualités

Publié le
Dernière modification le -

 

 

AFRINIC a pris connaissance d'un WHOIS problème de confidentialité et de sécurité des données et nous voulions partager les détails de l'incident avec vous.

En cours de traitement d'une demande d'assistance d'un chercheur ayant accès à notre site FTP authentifié qui fournit un volume rédigé WHOIS fichier de vidage de la base de données, nous avons remarqué que ceux qui étaient autorisés pour le gros WHOIS service pourrait accéder à un deuxième fichier contenant des informations telles que des adresses e-mail, des numéros de téléphone et des hachages de mot de passe. Après avoir remarqué ce problème, le fichier a depuis été supprimé du site.

 

Gros Volume WHOIS Service

AFRINIC propose un volume rédigé WHOIS vidage de la base de données via un site FTP authentifié. Ce dump filtre les adresses e-mail, les numéros de téléphone et les hachages de mots de passe et est principalement fourni pour soutenir les opérations Internet, la recherche technique et les statistiques.

L'accès à ce site FTP est accordé selon une procédure qui nécessite de remplir un formulaire et il est examiné par le personnel pour approbation.

 

Affecté WHOIS Fichier de vidage

La publication de ce dossier a débuté en 2011 dans le cadre d'une inter RIR collaboration pour fournir un service global de ressources (GRS).

Au cours de la période, le mécanisme de partage de ces informations a changé, cependant, en raison de processus automatisés, la publication de ce fichier a continué à se produire par erreur.

 

Niveau d'exposition

Les objets de base de données qui étaient publiés contenaient des informations confidentielles telles que des hachages de mots de passe, des e-mails d'organisation et des numéros de téléphone.

Le risque potentiel lié à l'accès aux hachages de mot de passe inclut la possibilité que le format de texte brut puisse être dérivé. Si un acteur malveillant est en mesure de dériver les mots de passe, il peut être en mesure d'apporter des modifications à WHOIS des objets de base de données protégés par un mainteneur spécifique.

L'accès à ces informations remontant à plusieurs années, nous ne sommes pas en mesure de déterminer si ces informations ont été utilisées pour compromettre le contenu du WHOIS base de données.

Actuellement, les données exposées qui sont à risque sont les suivantes :

  1. 12,536 XNUMX adresses e-mail,
  2. 5,272 XNUMX numéros de téléphone, et
  3. 1,633 5 mainteneurs utilisant des hachages de mots de passe CRYPT et/ou MDXNUMX.

Ces données concernent 2,281 XNUMX organisations. 

Le WHOIS base de données prend en charge trois mécanismes de hachage de mot de passe : BCRYPTE, MD5 et CRYPT. Actuellement, seulement BCRYPTE est considéré comme sécurisé contre les attaques par force brute.

Des efforts continus ont été déployés pour améliorer la sécurité de la base de données. Les améliorations comprenaient l'abandon partiel des mécanismes d'authentification CRYPT et MD5 qui ont été effectués en novembre 2017. Par conséquent, un utilisateur ne pouvait plus créer ou mettre à jour son ou ses mainteneurs avec un mot de passe haché à l'aide de ces algorithmes.

De plus, à compter de décembre 2020, nous avons totalement déprécié la prise en charge des mécanismes d'authentification CRYPT et MD5, de sorte que les mots de passe hachés par ces deux mécanismes ne fonctionneraient plus lors de la mise à jour d'autres objets, sauf pour permettre une mise à jour de l'objet du responsable avec un mécanisme d'authentification acceptable. .

Après avoir réalisé cette exposition des données, nous avons pris d'autres mesures pour désactiver complètement la prise en charge des deux mécanismes d'authentification.

Actuellement, au moins 92% des mainteneurs sont protégés en utilisant BCRYPTE les hachages, les certificats PGP et X-509.

Nous souhaitons préciser davantage que ces mots de passe de mainteneur ne doivent pas être confondus avec les mots de passe utilisés pour accéder au portail des membres.

En ce qui concerne les e-mails et les numéros de téléphone de l'organisation, l'accès à ces informations peut conduire à des abus et à d'autres fins indésirables telles que des e-mails et des appels téléphoniques non sollicités autres que de servir l'objectif du WHOIS base de données.

 

Les mesures prises

  • Le fichier contenant des données personnelles a été supprimé et n'est donc plus accessible aux personnes non autorisées.
  • La prise en charge de CRYPT et MD5 a été complètement désactivée.
  • Le commissaire à la protection des données a été dûment informé conformément aux exigences de la Lois sur la protection des données 2017
  • Communication avec les détenteurs de ressources et les utilisateurs FTP authentifiés avec accès au volume WHOIS revendre.

 

Actions supplémentaires

  • Le site FTP sera révisé pour s'assurer que les utilisateurs précédemment autorisés soient à nouveau validés. Les accréditations seront délivrées pour une période de temps limitée.
  • D'autres examens de la sécurité du système sont en cours.

 

Nous nous excusons pour tout inconvénient que cela a pu générer.

 

Eddy Kayihura 

Directeur général

AFRINIC

 

 

 

 

Publié le
Dernière modification le -

 

L'authentification à deux facteurs (2FA), parfois appelée vérification en deux étapes ou authentification à deux facteurs, est un processus de sécurité dans lequel les utilisateurs fournissent deux facteurs d'authentification différents pour se vérifier. Ce processus permet de mieux protéger à la fois les informations d'identification et les ressources de l'utilisateur.

Pour MyAFRINIC utilisateurs du portail, les deux facteurs d'authentification sont :

  1. Le mot de passe du compte
  2. Un code de sécurité unique à six chiffres.

Le code est généré par un authentificateur tiers à mot de passe unique basé sur le temps (TOTP), défini comme un standard ouvert dans RFC6238. Toute application prenant en charge TOTP peut être utilisée pour l'authentification à deux facteurs.

Implémentation 2FA pour le MyAFRINIC Le portail est une fonctionnalité de sécurité facultative mais fortement recommandée, car elle ajoute une couche de sécurité au processus d'authentification. S'il est activé, vous devrez entrer votre mot de passe et le code de sécurité à six chiffres ; généré par un authentificateur TOTP sur un appareil que vous contrôlez, généralement un smartphone ; chaque fois que vous vous connectez.

 

Prérequis pour l'authentification à deux facteurs.

Vous devez d'abord installer une application TOTP sur votre smartphone ou votre tablette avant d'activer l'authentification à deux facteurs dans MyAFRINIC. Quelques exemples sont:

Vous pouvez choisir votre propre authentificateur de choix autre que ceux énumérés ci-dessus.

 

Comment activer l'authentification à deux facteurs ?

L'activation de 2FA est une procédure simple ; les étapes suivantes devraient l'activer :

  1. Connectez-vous à Myafrinic Compte
  2. Cliquez sur « Mon compte », puis sélectionnez Sécurité
  3. Sélectionnez le bouton "Authentification à 2 facteurs".
  4. Sélectionnez la configuration. Lors de la configuration de l'application d'authentification, vous pouvez :
    • Scannez le QR-code affiché, ou
    • Entrez la « clé secrète » manuellement.
  5. Utilisez les six chiffres de l'application pour terminer la configuration.
    • Si votre code de sécurité à six chiffres ne correspond pas, veuillez vérifier que votre téléphone dispose d'un paramètre de fuseau horaire automatique sélectionné.
  6. Un guide de démonstration peut être trouvé ici.

 

Une fois que 2FA est activé, vous devrez fournir les deux facteurs d'authentification chaque fois que vous vous connectez et accédez aux informations de Myafrinic. Vous devrez d'abord saisir votre NIC-HDL et votre mot de passe, puis il vous sera demandé de " saisir le code de sécurité généré par votre application d'authentification ".

Dans la plupart des cas, le simple lancement de l'application d'authentification générera un nouveau code. Vous devez entrer ce code pour accéder à votre compte. Dans la plupart des applications d'authentification, le code généré automatiquement n'est valide que pendant 30 secondes. Vous devez utiliser le code dans ce délai ; sinon, il expirera et un nouveau code sera généré. Vous pouvez vous référer à la documentation de votre application d'authentification pour des instructions spécifiques.

 

Que faire si je ne peux pas générer le code à six chiffres ?

Si vous vous trouvez dans une situation où vous ne pouvez pas accéder à l'application d'authentification, vous devrez utiliser un code de sécurité de sauvegarde pour vous connecter au Myafrinic portail. Le code de sauvegarde est un code à usage unique à 10 caractères que vous pouvez utiliser à la place du code OTP pour accéder à votre compte.

Lorsque vous avez activé l'authentification 2FA, vous trouverez le bouton « Générer des codes de sauvegarde » dans la section Authentification à 2 facteurs. Les codes de sauvegarde seront générés lorsque le bouton est cliqué et le système vous donnera 5 codes de sauvegarde à usage unique. Notez-les ou imprimez-les et conservez-les dans un endroit sûr. Chaque code de sauvegarde ne peut être utilisé qu'une seule fois ; cependant, vous pouvez générer un nouveau jeu de codes à tout moment.

Si votre compte est bloqué et que vous n'avez pas le code de sécurité de secours, veuillez nous contacter.

 

Que faire si je n'ai pas ou ne veux pas utiliser de smartphone ?

Un smartphone avec une application d'authentification facilite l'utilisation de 2FA, mais en principe, vous pouvez utiliser n'importe quelle application capable de générer des mots de passe à usage unique basés sur le temps. Par exemple, la boîte à outils OATH vous permet de générer des codes de sécurité à partir de la ligne de commande. La page de manuel vous donnera des détails sur la façon d'utiliser l'application. L'autre option pourrait être OTP Manager, une autre application simple pour gérer les jetons One Time Password (OTP).

 

Puis-je désactiver l'authentification à 2 facteurs après l'avoir activée ?

Oui. 2FA est facultatif mais une fonction de sécurité fortement recommandée. Vous pouvez désactiver la fonctionnalité en accédant à la page Sécurité de votre section « Mon compte », en cliquant sur le bouton « Désactiver ».

 Note importante:

Le 24 juin 2021 lors de la maintenance programmée pour ajouter la fonctionnalité 2FA sur MyAFRINIC, la modification a été annulée car nous avons rencontré des problèmes. Nous avons fourni le rapport sur notre page d'état à https://status.afrinic.net/#notice-121229

Nous attendons maintenant le déploiement au cours de la deuxième semaine de juillet.

 

Page 41 de 220