BSI : Il faut blinder / CCC : Peut mieux faire

Actualités - Réseau - Posté on 13 Déc 2018 at 7:24 par cnis-mag

pedrik

Il y a les bonnes pratiques du routage Soho… et au-delà. Le BSI Allemand a émis il y a peu une note (in English dans le texte) détaillant les règles des « meilleurs efforts » possibles en matière de fabrication et d’usage appliqués aux routeurs d’entrée de gamme. Rien de véritablement transcendant, mais, à l’instar des recommandations de l’Owasp, les cyber-policiers Allemands égrènent les règle techniques d’une garantie minimale de sécurité, en admettant que chaque point soit mis en pratique. Chiffrement WPA2, mots de passe uniques forcés à 20 caractères au moins lorsqu’il s’agit de ceux configurés en sortie d’usine, ceci sans avoir recours à un dérivé du nom de l’entreprise, de l’adresse MAC du boîtier ou autre élément distinctif. Idem pour les mots de passe préconfigurés devant respecter une politique « minuscule-majuscule-lettres-chiffres-signes de ponctuation », le tout accompagné d’un indicateur de complexité facile à interpréter par un usager non technique… et le document de continuer sur les mécanismes et règles de mise à jour des microcodes, de la solidité des applications périphériques, des procédures d’identification/authentification et des règles et contraintes devant être imposées si un service distant de mise à jour automatique est offert.

Le document, rédigé de manière claire et didactique, s’adresse aussi bien aux fournisseurs d’équipement réseau qu’aux usagers, permettant ainsi aux seconds de vérifier si les premiers sont dignes de confiance.

Le Chaos Computer Club bondit sur l’occasion pour renchérir. « Ce n’est pas assez » explique en substance le communiqué de l’association. Il serait grandement souhaitable que les produits vendus affichent une « date limite de consommation », et que, par voie de conséquence, tout routeur périmé soit interdit à la vente. Et par routeur périmé, le CCC entend tout appareil dont la mise à jour ne serait plus possible en raison d’un arrêt du support constructeur. Solution radicale ? Pas totalement, puisque Chaos offre une porte de sortie en encourageant l’équipementier à tout mettre en œuvre pour qu’un micrologiciel alternatif puisse remplacer le code original une fois la date de péremption atteinte.

On touche là les limites de ce qu’il est raisonnable d’appliquer en matière de règlementation sécuritaire. Techniquement, les arguments du CCC sont imparables. Pratiquement, la mise à jour d’un firmware de routeur, ou plus encore, son remplacement par un OpenWRT ou proche cousin est un acte rarement pratiqué en entreprise, et, à plus forte raison, par une clientèle grand public. Ceci sans présumer des risques prévisibles de firmwares « rootkités » aux couleurs « open », que personne ou presque ne pourrait détecter.

Ce risque ne doit cependant pas remettre en cause la légitimité (et l’efficacité) du combat du CCC en faveur d’une ouverture vers les firmwares alternatifs.

Laisser une réponse