Firmwares des équipements : Besoin de les sécuriser ?

Je me remet environ 8 à 10 mois en arrière, dans le cadre de l'évaluation de la sécurité d'un équipement d'interconnexion client (En anglais CPE ou Customer Premises Equipement) ou plus communément routeur ou "Box Internet". Un audit de la sécurité de l'équipement avait été réalisé par OrangeLabs sur demande d'Orange Business. Parmi les choses remontées comme perfectibles, des manques au niveau de la vérification de l'intégrité du micrologiciel (ou firmware) de l'équipement avait été mis en avant. Parmi les propositions faites vers l'équipementier : Demande de mécanismes de vérification d'intégrité basés sur des checksums cryptographiques et pas un simple CRC comme c'était le cas si je me rappele bien.

Pour quoi faire, vous allez me dire ? Simplement s'assurer que votre super boite/appliance/routeur/borne wifi va fonctionner correctement ou ne pas être "backdoorée" par la droite, la gauche, etc... Que serait un PC sans OS (of course un Un*x) ou à défaut un bon Wind*ws ? A rien. Quels sont les risques ? A l'époque le panel des attaques était assez restreint, il a évolué depuis.

Pour exemple (mais on devrait en savoir plus prochainement), lors du salon EUSecWest 2008 qui se déroule actuellement (21 et 22 Mai 2008), un chercheur exploite des failles sur les mises à jour de firmaware afin de lancer des attaques en déni de service ciblant les équipements "faibles". Oui, un petit serveur TFTP en local et le plus souvent on arrive à remettre les choses d'aplomb.... Mais cela reste réservé à des "nerds"... Les Mr. Dupont/Durand seront bien incapables de remettre cela en place, quant à leur ISP bien sûr le risque est sous contrôle et tous l'intégrité des firmwares est assurée via des moyens sécurisés... :=) Nous somme ici passés du DDoS temporaire (ex: le flooding) au DDoS permanent...

Après, si un attaquant est capable de changer des firmwares, vous croyez qu'il va préférer le DDoS ou plutot une backboor qui va lui permettre d'en retirer beaucoup de plus de bénéfices ? Si vous suivez l'évolution de la criminalité, vous savez que la 2nde réponse est la bonne. Et je rejoins Philippe dans son post précédent sur les rootkits...

Un petit article qui développe le sujet : Darkreading.com, Permanent Denial-of-Service Attack Sabotages Hardware, May 19, 2008

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens