Remise en cause de la confiance dans les infrastructures

Mi-août, Cisco a été alerté des révélations de Shadow Brokers. Ce groupe revendiquait posséder des informations sur les activités du groupe Equation, soupçonné d’être lié à la NSA. Et pas des moindres : des codes d’exploitation de vulnérabilités présentes dans des équipements d’infrastructure clés, à commencer par les produits Cisco ASA et les pare-feu Cisco PIX. Des vulnérabilités pour certaines connues, pour d’autres inédites, comme celle permettant l’exécution à distance de code arbitraire via le protocole SNMP. L’équipementier n’a pas manqué de réagir et propose désormais des correctifs.

Mais ce n’est pas une première. Dans une note d’information, le Cert-US revient sur quelques précédents, à commencer par l’attaque SYNful Knock, visant à modifier furtivement l’image système d’un routeur. La mise en œuvre d’une menace révélée quelques semaines plus tôt par Cisco.

Le centre de réponse aux urgences de cybersécurité américain relève en outre que plusieurs notifications de compromission d’équipements Cisco ASA ont été émises en juin dernier. Et que si certaines vulnérabilités sont corrigées, les rustines ne sont hélas pas systématiquement appliquées par les organisations exploitant les équipements concernés. Des équipements susceptibles d’être visés par des attaquants.

Le Cert-US souligne dès lors que « si l’infrastructure réseau est compromise, des pirates malveillants ou des adversaires peuvent prendre le contrôle complet de l’infrastructure pour compromettre d’autres équipements ou données, et rediriger, modifier ou bloquer le trafic ». Avec le risque que l’on imagine de « déni de service, de vol de données, ou d’altération non autorisée de données ». La protection des équipements d’infrastructure réseau apparaît dès lors critique.

Pour ce faire, le Cert-US formule plusieurs recommandations. Et cela commence par la ségrégation des réseaux et des fonctions réseau, la limitation des communications latérales au strict nécessaire, le durcissement des équipements réseau, la sécurisation des accès aux matériels d’infrastructure, ou encore leur administration hors bande, et la validation de leur intégrité tant matérielle que logicielle.

En somme, même en matière de chaîne logistique des équipements d’infrastructure, l’ère de la confiance est terminée : « maintenez un contrôle strict de la chaîne logistique ; n’achetez qu’auprès de revendeurs certifiés », recommande le Cert-US en conclusion. Et même là, « inspectez les équipements à la recherche de signes de modification » et « validez les numéros de série auprès de sources multiples ».