Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Firmwares des équipements : Besoin de les sécuriser ?

Firmwares des équipements : Besoin de les sécuriser ?
2008-05-222013-02-11sécurité des réseauxfr
Je me remet environ 8 à 10 mois en arrière, dans le cadre de l'évaluation de la sécurité d'un équipement d'interconnexion client (En anglais CPE ou Customer Premises Equipement) ou plus communément routeur ou "Box Internet". Un audit de la sécurité de l'équipement avait été...
Publié le 22 Mai 2008 par Jean-François Audenard dans sécurité des réseaux

Je me remet environ 8 à 10 mois en arrière, dans le cadre de l'évaluation de la sécurité d'un équipement d'interconnexion client (En anglais CPE ou Customer Premises Equipement) ou plus communément routeur ou "Box Internet". Un audit de la sécurité de l'équipement avait été réalisé par OrangeLabs sur demande d'Orange Business Services. Parmi les choses remontées comme perfectibles, des manques au niveau de la vérification de l'intégrité du micrologiciel (ou firmware) de l'équipement avait été mis en avant. Parmi les propositions faites vers l'équipementier : Demande de mécanismes de vérification d'intégrité basés sur des checksums cryptographiques et pas un simple CRC comme c'était le cas si je me rappele bien.

Pour quoi faire, vous allez me dire ? Simplement s'assurer que votre super boite/appliance/routeur/borne wifi va fonctionner correctement ou ne pas être "backdoorée" par la droite, la gauche, etc... Que serait un PC sans OS (of course un Un*x) ou à défaut un bon Wind*ws ? A rien. Quels sont les risques ? A l'époque le panel des attaques était assez restreint, il a évolué depuis.

Pour exemple (mais on devrait en savoir plus prochainement), lors du salon EUSecWest 2008 qui se déroule actuellement (21 et 22 Mai 2008), un chercheur exploite des failles sur les mises à jour de firmaware afin de lancer des attaques en déni de service ciblant les équipements "faibles". Oui, un petit serveur TFTP en local et le plus souvent on arrive à remettre les choses d'aplomb.... Mais cela reste réservé à des "nerds"... Les Mr. Dupont/Durand seront bien incapables de remettre cela en place, quant à leur ISP bien sûr le risque est sous contrôle et tous l'intégrité des firmwares est assurée via des moyens sécurisés... :=) Nous somme ici passés du DDoS temporaire (ex: le flooding) au DDoS permanent...

Après, si un attaquant est capable de changer des firmwares, vous croyez qu'il va préférer le DDoS ou plutot une backboor qui va lui permettre d'en retirer beaucoup de plus de bénéfices ? Si vous suivez l'évolution de la criminalité, vous savez que la 2nde réponse est la bonne. Et je rejoins Philippe dans son post précédent sur les rootkits...

Un petit article qui développe le sujet : Darkreading.com, Permanent Denial-of-Service Attack Sabotages Hardware, May 19, 2008

2 Commentaires

  • 27 Mai 2008
    2008-05-27
    par
    Je viens de lire un commentaire de John Stewart, Chief Security Officer de CISCO indiquant que les utilisateurs de leurs solutions se rendent eux même vulnérables en ne mettant pas à jour leurs boxes. Nombre d'entre eux utiliseraient encore un IOS en version 10.3 (sorti en Avril 1995).
    Il confie ainsi : "Je peux leur donner une liste de vulnérabilités connues, mais les clients ne veulent pas y toucher parce que cela marche. Je pense qu'il y a un certain niveau de "cela fonctionne, n'y touchons pas car c'est fragile, cela peut casser". Je le comprends, cependant je ne trouve pas cela acceptable."
    On ne change pas une équipe qui gagne.
  • 22 Mai 2008
    2008-05-27
    par
    Edgar
    Eh bien voila, au moins c'est clair les Boxs sont des nids a pirate. Maintenant la question est de savoir, quelles sont les mesures qui ont etre prise pour informer les utilisateurs. Pour les spécialistes, il serait interessant de connaitre les contremesures qui ont ete mises en oeuvre puisque les faiblesses semblent etre identifiées.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage