Les équipements réseau, cible favorite des Russes : c’est l’accusation que portent le FBI, le DHS et le renseignement britannique. Ils pointent la faible sécurité des routeurs et autres switches, ouvrant une porte d’entrée aux méchants espions venus du froid.
Dans une alerte technique commune, le FBI, le DHS (Department of Homeland Security) et la branche cyber du renseignement britannique, le NCSC (National Cyber Security Centre) accusent des « cyber acteurs financés par l’Etat russe » de mener une vaste campagne de cyberattaques dirigées contre les infrastructures réseaux. Sont particulièrement visés les routeurs, switches et équipements de firewall.
Les victimes sont principalement des organisations gouvernementales et privées, les fournisseurs d'infrastructures critiques et les fournisseurs d’accès Internet. « Depuis 2015, le gouvernement américain a reçu des informations provenant de sources multiples - y compris des organisations de recherche sur la cybersécurité des secteurs privé et public et des alliés - que les cyberacteurs exploitent un grand nombre de routeurs et d'autocommutateurs SOHO / résidentiels » explique le document. Des « cyberacteurs » russes.
Au-delà de l’accusation et de sa dimension politique, les trois cybergendarmes reviennent sur les détails techniques de cette campagne malveillante et formulent des recommandations afin de la parer. Pourquoi s’attaquer aux routeurs ? « Quiconque contrôle l'infrastructure de routage d'un réseau contrôle les données circulant à travers le réseau » pointe le rapport. Et malgré la criticité de ces appareils, ils sont souvent le point faible d’un réseau. Et le tort est partagé entre les constructeurs, les FAI et les propriétaires d’équipement réseau.
Critiques mais négligés
Les périphériques réseau ne sont « pas maintenus au même niveau de sécurité que les autres postes de travail et serveurs » par leurs propriétaires et opérateurs. Du côté des fabricants, il leur est reproché de « construire et distribuer ces périphériques réseau avec des services exploitables [entendre des backdoors], qui sont activés pour faciliter l'installation, le fonctionnement et la maintenance », sans parler des vulnérabilités involontaires ? Quant aux FAI, ceux-ci « ne remplacent pas l'équipement sur la propriété d'un client lorsque ce dernier n'est plus pris en charge par le fabricant ou le fournisseur ». Une vraie passoire qui n’attend plus que les espions russes.
Quoique les Américains eux-aussi aient exploité ces failles, des révélations d’Edouard Snowden aux plus récentes sur CherryBlossom et Slingshot, vraisemblablement utilisées par la NSA. Le FBI, le DHS et le NCSC livrent dans cette alerte un certain nombre de recommandations à l’endroit des différents acteurs des réseaux, conseillant entre autres l’intégration par les constructeurs de règles YARA sur les équipements, de désactiver les protocoles et services hérités, non cryptés ou non authentifiés ou encore de s’assurer que les équipements sont régulièrement mis à jour.