Intrusion (à votre insu) dans le VPN d'un tiers

Partager

Dans la ligne directe de la note de Philippe "on ne perd plus, on vend!" relative à l'appareil photo acheté sur eBay contenant des clichés relatifs à des enquêtes terroristes, le même type d'incident vient de se reproduire mais cette fois avec un serveur VPN.
L'équipement est acheté pour une bouchée de pain sur eBay, son heureux propriétaire l'installe et le démarre en pensant qu'il allait devoir le configurer : Quelle ne fut pas sa surprise quand il constata que le routeur VPN venait d'établir un tunnel vers les systèmes appartenant au "Kirklees Council" du gouvernement UK.
Fort heureusement, ce routeur VPN était dans les mains d'un des experts sécurité de la société Random Storm.

Ce qui est assez "craquant" dans cette histoire c'est que le routeur avait été semble-t-il confié à une société spécialisée dans la revente de matériel informatique de 2nde main, qui se fait fort d'effacer le contenu des équipements avant leur revente.... A priori il y a un grain de sable dans le système... Pour ceux que cela intéresse, l'article de la BBC News "Alarm sounded on second-hand kit" décrit plus précisément l'affaire.

Cela n'arrive pas qu'aux autres: Il y a quelques années de cela, nous avons pu localiser un routeur en vente sur Ebay. Le vendeur avait eu la riche idée de mettre une recopie complète du fichier de configuration ("show running config") afin que les éventuels acquéreurs puissent évaluer le contenu exact de la vente.... Suite à une demande auprès d'eBay, la vente de l'équipement a été retirée. Comme il ne s'agissait que d'un routeur Internet, l'incident n'a heureusement pas eu d'impact pour le client : Cela aurait été tout autre si la configuration des ACLs ou autres paramètres de sécurité avaient été exposés au grand jour !

A minima, avant de confier à un tiers vos équipements sensibles, réinitialisez leur configuration. Pour un routeur CISCO deux commandes suffisent: Un "write erase" suivi d'un "reload" et c'est fini ! Cela devrait être fait en priorité sur les routeurs VPN, les passerelles SSL ou les firewalls.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)