Administration réseau : ce qu’impliquent les révélations de Prism

Les multiples documents diffusés par la presse internationale depuis le début du scandale Prism ont conduit à révéler que la NSA a systématiquement utilisé des portes dérobées au sein de parefeux, de routeurs, de PC et de serveurs d’équipementiers majeurs, dont Cisco, Juniper Networks, HP, Dell et Huawei. Jusqu’à montrer que l’agence du renseignement américaine est allée jusqu’à intercepter des livraisons de produits de ces constructeurs pour y installer des dispositifs de surveillance. 
Avocats et juges débattront de la légalité de ces activités, mais ingénieurs et administrateurs réseau doivent s’atteler à des tâches plus concrètes. « Je me sens plus concerné par les vulnérabilités induites, sur mon réseau, par [une porte dérobée de la NSA]. Nombre de ces trous ne peuvent pas être comblés par une mise à jour d’IOS ou une mise à niveau logicielle », explique Jonathan Davis, ingénieur réseau chez un constructeur international. Davis explique que son entreprise a perdu des millions de dollars, il y a quelques années, lorsque son réseau a été piraté par un concurrent étranger. Le pirate a dérobé des données qui ont servi à la fabrication de produits clonés et cela continue d’affecter le chiffre d’affaires de son entreprise. Davis s’inquiète que la surveillance de la NSA ouvre de nouveaux vecteurs d’attaque en matière d’espionnage industriel et que les données volées conduisent à « de l’argent volé à mon entreprise ou au travers de mon entreprise ».
« Si la NSA s’appuie sur des attaques zero-day visant des routeurs et autres équipements réseau, nous nous trompons si nous pensons que les Chinois ne sont pas déjà capables de lancer le même genre d’attaques - ou sont en train d’y travailler », estime Nate Cardozo, avocat pour l’Electronic Frontier Foundation (EFF). « La NSA est peut-être la plus efficace dans ce qu’elle fait, mais elle n’est pas la seule à le faire. Si la NSA s’appuie sur des attaques zero-day, c’est d’une irresponsabilité choquante. »

Quelles sont les implications des portes dérobées de la NSA ? Il faut considérer que son réseau est une cible.

Chaque ingénieur réseau devrait considérer que le réseau de son entreprise est une cible potentielle, pas seulement pour la NSA, mais également pour quiconque souhaite exploiter les équipements compromis.
« Il ne fait aucun doute que la NSA va très loin pour compromettre des entreprises américaines qui fournissent des services de communications ou de transactions à des Américains innocents », considère Cardozo. Ces cibles s’étendent des opérateurs aux géants du Web tels que Google et Yahoo, en passant par les spécialistes des services financiers, ou encore par les industries hôtelières et des transports, selon lui.
Certains documents publiés remontent à 2008. De nombreuses vulnérabilités décrites visent des produits arrivés en fin de vie, tels que NetScreen de Juniper ou encore les parefeux PIX de Cisco. Mais les ingénieurs réseau ne peuvent pas assurer que les nouveaux produits sont plus sûrs. L’ingénieur Nick Guraglio estime que la NSA ne s’est pas laissée dépasser par le marché, développant des exploits pour chaque nouveau produit commercial. Il est également certain que le catalogue de vulnérabilités de la NSA est bien plus vaste que ce qui a pu être révélé publiquement. Cisco, Juniper, HP, Dell et Huawei ne sont pas les seuls à avoir été compromis : « Ce qui est inquiétant, c’est que les documents publiés sont assez anciens. Sur le plan technologique, quelques années, c’est déjà une éternité. De quoi dispose aujourd’hui la NSA et qui soit encore plus préoccupant ? »
Pour Buraglio, les ingénieurs réseau devraient dès maintenant procéder à une analyse de leur trafic. Il s’agit moins de s’inquiéter d’une surveillance par la NSA que de chercher à savoir si quelqu’un d’autre exploite les mêmes vecteurs d’attaque. « Commencez par examiner votre trafic, vos logs. Vérifiez s’il n’y a rien de déraisonnable », explique-t-il. « Si vous observez quelque chose d’inhabituel, demandez à votre fournisseur de bande passante s’il dispose de données complémentaires. Il doit y avoir quelque part un boîtier qui ne masque pas les données. Le trafic ne ment pas. Une chose à laquelle je tiens beaucoup, c’est connaître le trafic de référence de mon réseau. Une chose que beaucoup ne font pas. Mais plus on dispose de données, mieux c’est. »
Compte tenu de l’étendu des programmes de surveillance de la NSA, tous les professionnels de l’IT devraient s’interroger sur la sécurité de leurs données et sur l’intégrité des équipements de leur infrastructure. « Microsoft a indiqué considérer désormais le gouvernement américain comme une menace avancée persistante, et je pense qu’ils ont raison », explique Cardozo. « Chaque entreprise a la responsabilité de la protection des données de ses clients contre les vecteurs d’attaque connus. Et il devient absolument clair que la NSA ne ménage pas ses efforts contre les entreprises américaines. »

Comment réagir à ces révélations ? En discutant avec les fournisseurs.

Cisco et de nombreux autres constructeurs ont publiquement nié toute contribution aux portes dérobées exploitées par la NSA, voire toute connaissance de celles-ci. Cisco a ajouté enquêter sur le sujet pour assurer que ses produits sont sûrs. 
Buraglio, Davis et Cardozo estiment tous trois que ces fournisseurs sont sincères. Mais les professionnels de l’IT se doivent d’être agressifs sur le sujet en posant des questions fermes à leurs fournisseurs. « L’une des plus importantes est : ‘Comment puis-je être sûr que les équipements installés dans mon centre de calcul sont exactement les mêmes que ceux que j’ai achetés ?’ Cela implique de fournir aux clients des schémas, voire un technicien, pour ouvrir le capot et s’assurer qu’il n’y a pas des pièces étrangères. C’est peut-être nécessaire pour rétablir la confiance », estime Cardozo.
En outre, les constructeurs devraient rendre les choses plus difficiles pour la NSA. « Si cela implique de supprimer le port [de maintenance] JTAG, ou encore l’interface I2C, peut-être faut-il commencer à le faire. Laisser un port de maintenance ouvert sur une carte mère, c’est faciliter le travail de la NSA. Peut-être est-il temps de commencer à fermer ces vulnérabilités avant la sortie de l’usine », s’interroge Cardozo.
Buraglio entend évoquer le sujet avec les constructeurs, et pas uniquement avec ses propres fournisseurs. Il veut des garanties de la part de tout fournisseur auquel il est susceptible de recourir à l’avenir, ou de recommander, y compris ceux qui n’ont pas été nommés jusqu’alors. L’une des principales questions qu’il entend poser consiste à savoir si les équipements conformes FIPS offrent une quelconque protection contre ces vulnérabilités. De fait, une conformité FIPS peut générer une certaine suspicion quant à leur intégrité.
« FIPS vérifie notamment l’intégrité des binaires dans le système », explique Buraglio. « Il vérifie, par cryptographie, votre système d’exploitation. Si quelque chose a été modifié, le hash cryptographique ne correspondra pas. La plupart des gens disposent de FIPS sur leurs équipements réseau mais ne l’utilisent pas parce que c’est compliqué. Je me demande dans quelle mesure il serait efficace contre les outils de la NSA. Vous devriez poser la question à vos fournisseurs. » 
Davis indique avoir déjà programmé des rendez-vous avec ses fournisseurs pour aborder leurs réponses, à court et long terme, face aux révélations des activités de la NSA. Mais il ne pense pas pouvoir ouvrir chaque équipement pour chercher des implants de surveillance. « Même si je commençais à retirer les vis ou à sortir du rack des équipements, il y a environ 25 000 appareils sur mon réseau. Et je ne parle là que des équipements réseau et des parefeux. Dans un avenir proche, il y aura des outils, probablement fournis par les équipementiers, pour, par exemple, analyser les matériels et détecter toute anomalie. » 

Une mine d’or

Si les activités de la NSA ont conduit à la compromission d’innombrables réseaux, Davis pense que l’industrie des réseaux pourrait en tirer profit à long terme. « Je pense que, d’ici trois à cinq ans, nous allons observer l’éclosion d’une nouvelle forme de sécurité pour ces équipements - leur déballage, leur examen approfondi pour vérifier l’absence de modification. A long terme, ce sera très profitable à la sécurité dans son ensemble. A court terme, cela nous soumet à une forte pression. »

Adapté de l’anglais par la rédaction.