Le piratage d’une partie des produits réseau de Juniper a fait couler beaucoup d’encre, particulièrement la découverte de la porte dérobée. Cependant, l’origine de cette faille est auréolée de mystère, même si les soupçons s’orientent vers la NSA, et plus globalement le monde du renseignement. Selon certains documents d’Edward Snowden, l’agence américaine connaissait en fait l’existence de cette porte.
Les pare-feu de la gamme NetScreen de Juniper embarquent le système d’exploitation ScreenOS pour gérer l’intégralité des opérations à réaliser. Or, plusieurs versions, dont la plus ancienne remonte à plus de deux ans, étaient vulnérables : une porte dérobée avait été placée par un auteur inconnu. Exploitée, elle permettait un accès complet aux fonctionnalités et aux données, avec des facilités pour déchiffrer le contenu transitant par les connexions VPN.
Juniper avait diffusé un correctif en urgence, et la situation a été assez grave pour déclencher une réaction chez Cisco, le concurrent annonçant qu’un audit de sécurité complet était lancé sur plusieurs de ses produits. Parallèlement, il apparaissait que la porte dérobée pouvait être une version remaniée d’une autre vulnérabilité laissée précédemment par la NSA, mais les avis divergeaient dans ce domaine.
La NSA connaissait l'existence de failles depuis plusieurs années
Ryan Gallagher et Glenn Greenwald, principaux journalistes de The Intercept, ont donc diffusé un nouveau document d’Edward Snowden. Signalons tout de suite qu’il ne fait pas référence directement à la porte dérobée dont il a été question ces derniers jours, mais le contenu en est éloquent. Il montre en effet que la NSA connaissait l’existence de failles depuis au moins 2011 dans les produits Juniper, et qu’elle n’en avait pas averti le constructeur.
On tombe ici directement dans la double-mission particulière de la NSA : protéger les infrastructures américaines et trouver les armes qui pourront potentiellement être utilisées demain. L’agence de sécurité avait même publié il y a quelque temps une infographie pour indiquer que 91 % des failles de sécurité trouvées faisaient l’objet d’un bulletin d’avertissement à la société concernée. Mais la NSA ne donnant aucune indication temporelle, il était impossible de savoir si les failles avaient été exploitées avant d’être renvoyées vers l’entreprise.
Le renseignement anglais les a exploitées avec succès
Le document de Snowden montre en fait que non seulement la NSA savait, mais qu’elle s’est gardé ces vulnérabilités sous la main pour pouvoir les exploiter à sa guise en cas de besoin. Malheureusement, on ne sait pas si ces brèches ont bien été utilisées. Cependant, il indique clairement que le GCHQ, équivalent anglais de la NSA, a pu exploiter ces failles dans 13 produits de Juniper. On sait donc qu’au moins une agence les a utilisées, même si le document ne donne pas de lien direct entre la NSA et le GCHQ, ce dernier ayant très bien pu découvrir les vulnérabilités par ses propres moyens.
Cela étant, et connaissant les liens très étroits entre les États-Unis et le Royaume-Uni dans ce domaine, il est probable qu’une communication ait eu lieu. Dès lors, il est permis de penser que la NSA a également exploité ces failles, mais il n’y a aucune indication sur la fréquence ou les dates.
Les informations publiées suggèrent également que la découverte des brèches ferait suite à un partage d’informations renforcé entre Juniper et la NSA en 2010. L’analyse des ingénieurs aurait alors permis de trouver une série de failles, a priori utilisées plus tard par les deux agences alliées pour surveiller l’avancement des technologies chez Juniper. La NSA aurait en effet estimé que les progrès rapides sur la sécurité pouvaient devenir à terme un problème pour le renseignement. Un cas que l’on peut finalement rapprocher des débats actuels sur le chiffrement et sur la manière dont il interfère dans les enquêtes et le travail général des forces de l’ordre.
Le chainon manquant
Aucune des parties impliquées n’a cependant formulé de réponse précise au sujet de ce document. La NSA n’a tout simplement pas réagi, le GCHQ s’est contenté de répondre (comme d’accoutumée) qu’il respectait un cadre juridique strict pour ses activés, et Juniper a répété que seule la sécurité de ses produits importait et qu’il ne travaillait avec personne dans le seul but d’introduire des portes dérobées.
The Intercept fait cependant écho aux propos du chercheur Matt Blaze, pour qui la récente porte dérobée ne correspondrait pas aux failles de 2011 dont il est question dans le document de Snowden. Ces dernières seraient plutôt liées à un programme spécifique de la NSA, « FEEDTROUGH », dévoilé en 2007 par le journal allemand Der Spiegel et chargé de collecter justement des failles sur les produits.
Mais même si le lien ne devait pas être établi, le document montre encore une fois les objectifs troubles de la NSA. Le problème est toujours le même : si 13 failles ont été découvertes en 2011 et exploitées à de multiples reprises, cela signifie que d’autres ont pu les découvrir et les exploiter. Traduction, Juniper aurait dû être averti dès le départ de l’existence de ces vulnérabilités afin de les corriger, et ainsi augmenter la sécurité générale des réseaux, ses produits étant utilisés dans de vastes infrastructures.
Commentaires (27)
#1
“La faille qu’on a mis, oui on est au courant”
#2
13 ça porte malheur !
" />
#3
Dans les milieux autorisés , on s’autorise à penser que la NSA espionne tout le monde ?
Sans blague … quel scoop ! alors …
#4
#5
On ne met pas tous ses œufs dans le même panier. Il y a surement d’autres failles dans un autre peut être même d’autres paniers.
#6
#7
De la a dire qu’ils sont passés par la porte de derrière (back door), ca se comprend qu’ils soient dans la M… " />
#8
Ils impriment des milliards de dollars et détruisent la sécurité d’Internet pour réussir à lire des messages du style “Les sanglots longs des violons de l’automne”? " />
#9
D’ailleurs à ce sujet, Orange utilise les produits et logiciels Juniper pour son offre BVPN pour les entreprises. Comment être sur qu’Orange a bien mis à jour ses produits Juniper ? Je dis ça parce qu’il s’avère que le client VPN que j’installe sur les postes nomades c’est du Juniper et que finalement toutes les infos plus ou moins confidentiels de la société transitent peut-être par des équipements vulnérables…
#10
L’information c’est le pouvoir, surtout dans nos sociétés connectées.
Mais ils ont juste oublié que trop d’information, ça sert à rien. Savoir c’est bien, en faire quelque chose c’est mieux.
Et pendant ce temps, la vie privée meure…
#11
Et où sont installées les instances de Juniper en général ? Les fiefs terroristes ? " />
#12
Une meilleure réponse de la part de Juniper aurait été de lancer un audit complet, comme Cisco, afin de trouver ces 13 failles… mais là on dirait juste que tant qu’elles ne sont pas rendues publiques ils n’en ont rien à carrer.
Ça ne donne pas envie de se tourner vers eux la prochaine fois qu’il y aura des besoins d’équipements.
#13
Orange n’utilise pas ScreenOS.
#14
Dans la théorie des audits réguliers devraient être fait.
Je bosse pour une entreprise américaine où tout doit suivre la sacro-sainte procédure comme si le fait de la suivre faisait que, par la suite, tout serait parfait sans avoir à revenir dessus sous prétexte que la procédure a été suivie.
#15
On utilise le même outil dans ma boite (Juniper network connect), c’est à vous de faire la MaJ
#16
A la poste. " />
#17
#18
#19
#20
Assez ironique de se dire que des failles de sécurité sont laissées dans des équipements qui sont justement la pour protéger des réseaux.
Autant je comprends le souhait des organismes de surveillance et d’espionnage, mais c’est tout de mème jouer avec le feu. Pour eux, pour leur pays, comme pour les fabricants de ce matériel.
#21
#22
#23
#24
#25
Quelles sont tes sources ?
#26
Le “Network Connect” & “Host Checker” se mettent à jour au lancement mais pas de version supérieure à la 7.4.0 chez moi. Et jusqu’au mois dernier nous étions en 7.1.7 et il a fallu appeler Orange pour que la MAJ côté serveur se fasse et qu’elle déclenche la MAJ côté client…
#27
Si les programmes des routeurs étaient open-source, les failles auraient sans doute été corrigées plus rapidement.