octobre 23rd, 2015

Ntp, le protocole destiné à distribuer un signal horaire à l’ensemble des ordinateurs d’un réseau, est susceptible de se faire attaquer, explique l’alerte de sécurité Talos. Ars Technica développe la question et se répand en explications techniques passionnantes, d’autant plus passionnantes que bien des protocoles de sécurité (à commencer par ceux utilisés par les réseaux de distributeurs automatiques de billet et autres procédés de chiffrement utilisant TLS) ont besoin d’une référence temporelle précise qui ne puisse « remonter » dans le temps.

A l’heure actuelle (sic), un unique récepteur GPS (8 dollars sur eBay) peut alimenter un serveur ntpd local, qui, à son tour, pourra distribuer une heure précise à toutes les machines d’un même réseau. Certes, il ne présentera pas les caractéristiques de résilience, de robustesse et d’autonomie d’un équipement professionnel, mais il sera bien moins facilement attaquable qu’une requête ntp.

Le BSI (Bundesamt für Sicherheit in der Informationstechnik), l’agence fédérale allemande chargée de la sécurité des TIC, envisage très fortement de tester, à fins de qualification, tous les routeurs haut-débit utilisés outre-Rhin. Cette profession de foi de plus de 55 pages de descriptions de tests techniques est justifiée très clairement dès les premiers paragraphes : en Allemagne, le haut débit représente 99,8% des accès Internet, et ce, depuis 2013, soit 28,4 millions de points de connexion. Cet accès passe nécessairement par un routeur, lequel présente un risque non négligeable en cas de vulnérabilité : ce serait la porte ouverte à un formidable botnet. S’ajoute également à cette crainte la « Objectinternetisation » de la famille, de ses téléviseurs connectés, de ses NAS en fonctionnement permanent, de ses ordinateurs multiples et mobiles, de plus en plus souvent reliés par des réseaux sans fil, en attendant que les cafetières, bouilloires, congélateurs, montres « gym tonic » et pèse-personne ne viennent s’y ajouter.

Le nombre de modèles de routeurs à tester ne constitue pas franchement un problème insurmontable, puisque le marché est plus ou moins dépendant de celui d’une poigné d’opérateurs. Raison de plus pour que l’analyse soit poussée dans ses plus extrêmes retranchements : solidité du firewall, protection des protocoles DNS et DHCP, étanchéité des vpn locaux et externes, durcissement de tout ce qui touche aux réseaux sans-fil (WPS, filtrage MAC), conformité aux dernières règles de sécurité IPv6, confinement des protocoles « délicats » (Upnp par exemple), résistance aux attaques classiques genre Heartbleed ou CSRF…

Le BSI a, de tous temps, déployé des efforts considérables pour protéger les installations connectées quelle que soit la taille et l’importance stratégique de l’usager, de la grande entreprise à la TPE ou au particulier. A tel point que les premières versions de firewall « open source » reposant sur Bastille Linux faisaient déjà l’objet de campagnes il y a plus de 10 ans. Aujourd’hui, le support du firewall et la sécurité (numérique) des foyers devront être assurés par ces passerelles ADSL.
En France, l’Anssi tente aujourd’hui de sensibiliser également le secteur Grand Public mais avec une infrastructure encore plus adaptée au support des entreprises du CAC40 et des Administrations, historiquement les premiers objectifs de l’Agence. Cela devrait évoluer dans le bon sens si l’on considère les dernières annonces de la stratégie Cybersécuirté française annoncée vendredi dernier.