De nouvelles découvertes ont mis en lumière ce qui serait une tentative licite d’intercepter secrètement le trafic provenant du jabber.[.]ru (alias xmpp[.]ru), un XMPPservice de messagerie instantanée, via des serveurs hébergés chez Hetzner et Linode (filiale d’Akamai) en Allemagne.
« L’attaquant a émis plusieurs nouveaux certificats TLS à l’aide du service Let’s Encrypt, qui ont été utilisés pour pirater des certificats cryptés. Connexions STARTTLS sur le port 5222 en utilisant transparent [man-in-the-middle] proxy », un chercheur en sécurité qui s’appelle ValdikSS dit plus tôt cette semaine.
« L’attaque a été découverte en raison de l’expiration d’un des certificats MiTM, qui n’a pas été réémis. »
Les preuves recueillies jusqu’à présent indiquent que la redirection du trafic est configurée sur le réseau de l’hébergeur, excluant d’autres possibilités, telles qu’une violation du serveur ou une attaque d’usurpation d’identité.
On estime que les écoutes téléphoniques ont duré jusqu’à six mois, du 18 avril au 19 octobre, bien qu’il ait été confirmé qu’elles ont eu lieu depuis au moins le 21 juillet 2023 et jusqu’au 19 octobre 2023.
Des signes d’activité suspecte ont été détectés pour la première fois le 16 octobre 2023, lorsque l’un des administrateurs UNIX du service a reçu un message « Le certificat a expiré » lors de sa connexion.
L’auteur de la menace aurait arrêté son activité après le début de l’enquête sur l’incident du MiTM le 18 octobre 2023. On ne sait pas immédiatement qui est derrière l’attaque, mais il s’agit probablement d’un cas d’interception légale sur la base d’une demande de la police allemande. .
Une autre hypothèse, cependant improbable mais pas impossible, est que l’attaque MiTM serait une intrusion dans les réseaux internes de Hetzner et de Linode, ciblant spécifiquement le jabber.[.]ru.
« Compte tenu de la nature de l’interception, les attaquants ont pu exécuter n’importe quelle action comme si elle était exécutée à partir du compte autorisé, sans connaître le mot de passe du compte », a expliqué le chercheur.
« Cela signifie que l’attaquant pourrait télécharger la liste du compte, l’historique des messages non cryptés à vie côté serveur, envoyer de nouveaux messages ou les modifier en temps réel. »
Hacker News a contacté Akamai et Hetzner pour de plus amples commentaires, et nous mettrons à jour l’histoire si nous recevons une réponse.
Les utilisateurs du service sont recommandé supposer que leurs communications au cours des 90 derniers jours sont compromises, ainsi que « vérifier leurs comptes pour de nouvelles clés OMEMO et PGP non autorisées dans leur stockage PEP et modifier les mots de passe ».