Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Porte dérobée dans les pare-feu NetScreen : Juniper publie un correctif, Cisco lance un audit

Analyse d'un cas d'école

Porte dérobée dans les pare-feu NetScreen : Juniper publie un correctif, Cisco lance un audit

Le 23 décembre 2015 à 13h15

L’ensemble des équipements réseau de Juniper dédiés aux pare-feu est affecté par l’ajout d’un code dont l’origine semble inconnue. La société a publié un correctif pour retirer cette extension potentiellement très dangereuse : elle permettait un accès complet dès lors que l’on possédait le bon mot de passe. Les soupçons s’orientent vers la NSA.

L’histoire pourrait à la fois illustrer les pires craintes nées dans le sillage des révélations d’Edward Snowden et les problèmes potentiels exprimés par tous ceux qui luttent contre l’idée des portes dérobées dans les logiciels. Juniper, équipementier réseau bien connu, a en effet découvert qu’un code avait été ajouté à son insu dans ses produits destinés à la protection des réseaux, plus particulièrement dans ses pare-feu. Ce code permet, dès lors que l’on peut s’y connecter avec le bon mot de passe, d’examiner avec soin tout ce qui transite par ces équipements, le tout à distance.

De nombreuses versions de ScreenOS concernées

La société a avoué jeudi dernier dans un communiqué qu’à l’occasion d’une révision interne du code, des lignes supplémentaires avaient été trouvées. La société n’a aucune idée de l’identité de l’auteur, mais elle indique que le code permet un accès à l’ensemble des produits NetScreen avec des droits administrateurs et un déchiffrement de l’ensemble des connexions VPN. Dans la foulée, l’entreprise a publié un correctif pour toutes les versions concernées de son système ScreenOS. Dans une mise à jour du communiqué datant de dimanche, elle précise d’ailleurs qu’en fonction du type de danger, les versions concernées ne sont pas les mêmes :

  • Accès administrateur : versions 6.3.0r17 à 6.3.0r20 de ScreenOS
  • Déchiffrement des connexions VPN : versions 6.2.0r15 à 6.2.0r18 et 6.3.0r12 à 6.3.0r20 de ScreenOS

On remarque donc que les connexions VPN sont en danger sur un nombre bien plus important de versions. Dans tous les cas, les administrateurs sont invités à mettre les équipements à jour aussi rapidement que possible. La situation est particulièrement dangereuse pour les entreprises concernées, ce qui explique la publication hors-cycle du correctif. Par ailleurs, les brèches constatées ne concernent que les produits utilisant ScreenOS, ceux basés sur SRX par exemple étant hors de danger. Juniper ne donne par contre aucune explication sur la manière dont une telle injection a pu se produire.

Une véritable porte dérobée

Pour autant, il est difficile de parler de brèche de sécurité au sens propre, dans la mesure où le code introduit résulte d’une volonté clairement affichée de mettre en place une porte dérobée. Un constat très important pour l’analyse de la situation car il pose évidemment la question de l’auteur de cet ajout, mais également des conséquences de telles ouvertures volontaires. Alors que le sujet revient sans cesse sur le tapis au vu d’une augmentation des pratiques de chiffrement, les dangers inhérents à ce type de pratique apparaissent d’autant plus clairement.

Le code ajouté dans les produits Juniper permettait en effet d’analyser tout le trafic réseau si l’on savait où chercher la porte d’entrée, mais également si on possédait le bon mot de passe. Or, des chercheurs ont pu le trouver en seulement trois jours, en analysant les différences entre la version mise à jour de ScreenOS et la précédente. Cet important travail montre encore une fois qu’une porte dérobée peut être non seulement trouvée, mais qu’un peu de travail suffit pour en trouver la clé. On rejoint ici les propos de Tim Cook, PDG d’Apple, sur les portes dérobées : « Si vous mettez en place une telle porte, alors elle est pour tout le monde, pour les gentils comme pour les méchants ».

D’autre part, Juniper avait indiqué qu’il était extrêmement difficile de savoir qui avait accédé aux équipements durant la période de validité de cette porte dérobée. Et cette période est d’au moins deux ans puisque les premières versions touchées datent de 2013. Conséquence, les auteurs de la brèche peuvent avoir accédé aux données durant un temps prolongé, pour une somme de dégâts pratiquement impossible à évaluer. Ce qui n’empêche pas les chercheurs d’avoir proposé un ensemble de règles à mettre en place pour détecter toutes les connexions réalisées au moyen de SSH et les inscrire dans un journal. Évidemment, cela ne sera d’aucun secours pour les connexions réalisées dans le passé.

Les regards se tournent vers la NSA

Quant à l’auteur de cette attaque, les signes pointent vers une responsabilité partielle et indirecte de la NSA. C’est l’avis du chercheur Ralf-Philipp Weinmann, PDG de la société allemande Comsecuris : toute l’opération serait basée sur une porte dérobée placée par la NSA et dont les caractéristiques - tout comme les objectifs - auraient été modifiées par les pirates, quels qu’ils soient. La porte dérobée initiale figure en fait dans le générateur de nombres aléatoires Dual_EC, approuvé par la NSA, et utilisé par Juniper dans ses pare-feu pour chiffrer les données.

Toutefois, toujours selon Weinmann, l’ensemble n’aurait peut-être pas été possible sans une erreur réalisée par Juniper, sans préciser laquelle. Il est également d’avis que le problème aurait probablement pu être détecté plus tôt puisque la méthode utilisée pour mettre en évidence le souci dans Dual_EC était déjà connue par la communauté de la sécurité en 2007. Il estime en outre que le correctif publié par Juniper ne corrige pas complètement le problème. Notez cependant que dans une note séparée, Juniper indique que l’origine de la faille ne peut pas être dans Dual_EC car il n’est « pas utilisé en tant que générateur principal de nombres aléatoires ». En outre, l’entreprise assure que l’implémentation de Dual_EC est faite de manière sécurisée et qu’une telle faille n’aurait pas pu être exploitée.

Par ailleurs, la situation a suffisamment eu d'échos pour provoquer une réaction chez Cisco. Dans un billet de blog publié lundi, le constructeur y annonçait le lancement d'un audit de sécurité pour vérifier à nouveau l'intégralité du code dans certains de ses produits. Il indique également avoir agi de sa propre initiative et ne pas avoir été (encore ?) contacté par les forces de l'ordre pour le cas Juniper.

Un cas d'école

En résumé, plusieurs éléments restent actuellement auréolés de mystère, notamment l’origine exacte de cette attaque visiblement très bien orchestrée. Les soupçons s’orientent volontiers vers un partenaire proche des États-Unis, comme le Royaume-Uni ou Israël, mais cette explication ne convainc pas tout le monde. Sur CNN par exemple, plusieurs membres officiels du gouvernement américain ont indiqué, sous couvert d’anonymat, que non seulement le renseignement n’était probablement pas à l’origine de l’attaque, mais que le FBI avait démarré une enquête à ce sujet.

Dans tous les cas, et outre l’aspect critique de ce trou béant laissé par l’attaque contre les pare-feu de Juniper, la situation illustre les dangers inhérents à l’utilisation des portes dérobées. On imagine que ce cas d’école sera utilisé par tous les défenseurs du chiffrement comme une démonstration parfaite des risques encourus : quel que soit le degré de complexité de la porte mise en place, elle pourra être utilisée par tout le monde une fois découverte.

Commentaires (41)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



« Si vous mettez en place une telle porte, alors elle est pour tout le monde, pour les gentils comme pour les méchants »





Il a dit ça texto, parce que ça fait penser à une phrase d’un enfant en bas age.

votre avatar

Il a dit ça texto (suivre le lien juste avant) et à plusieurs reprises.

 

votre avatar







darkbeast a écrit :



Il a dit ça texto, parce que ça fait penser à une phrase d’un enfant en bas age.





Les termes “gentils” et “méchants” renvoient p-e à un vocabulaire infantile mais ils sont justes, bien que cela traduit une vision manichéenne de l’individu. Ces deux mots ont bien chacun leur propre signification. 



T’aurais préféré quoi ?  les “cools” et les f… de p…. ??


votre avatar

D’autre part, Juniper avait indiqué qu’il était extrêmement difficile de savoir qui avait accédé aux équipements durant la période de validité de cette porte dérobée



wouaw !!! j’ai déja vu des failles dans la gestion des changements … mais la !!!!



<img data-src=" />

votre avatar







tifounon a écrit :



Les termes “gentils” et “méchants” renvoient p-e à un vocabulaire infantile mais ils sont justes, bien que cela traduit une vision manichéenne de l’individu. Ces deux mots ont bien chacun leur propre signification. 



T’aurais préféré quoi ?  les “cools” et les f… de p…. ??



Les autorités compétentes vs les pedo-terro-satanistes, bien sur. La langue de bois officielle.


votre avatar

Et si c’était la NSA qui avait averti Junniper (parce que pour une fois c’était pas eux à l’origine de la faille) ?

<img data-src=" />

votre avatar







Zerdligham a écrit :



Tu peux en dire un peu plus?

Parce que bonne gestion des changements ou non, je ne vois pas trop ce qu’on peut faire face à quelqu’un qui peut obtenir les droits d’admins, et donc effacer toutes les traces qu’il veut.







????

On donne les droits admin aux concepteurs d’un soft ? Et c’est lui aussi qui gère les cycles de compil ?

En plus un soft OS c’est pas une appli métier quand même!

Quand une équipe bosse sur la conception d’un soft quel qu’il soit et qu’on n’est pas capable de s’apercevoir tout de suite quand il a été rajouté quelques lignes de codes … je trouve ça incroyable.

Ne serait-ce qu’en comparant les backups journaliers du soft socle , les sources backupées systématiquement à chaque compil etc …

la ou j’ai trainé, les MD5 ( enfin une sorte d’équivalents) étaient comparés chaque matin et qu’il y ait une modif ou pas la compil avait lieu toutes les nuits en automatique, donc fatalement … un changement sauvage se serait autodétecté vite fait avant l’arrivée des devs. ( et les dev n’étaient pas ‘root’ sur le système ou ils développaient ! heureusement!)



mais bon on parle peut-être pas de la même chose



Maintenant comme l’a dit quelqu’un ici , la gestion des changements peut avoir des failles , mais bon à Seattle, à Palo Alto ou à Poughkeepsie c’est un truc un peu plus sérieux que du dev d’appli métier chez un client.



votre avatar

Tous les juniper qu’utilise orange,cela fait peur.

votre avatar

J’ai dit exactement la même chose ….



Ça va être sportif si il doivent MAJ les routeurs …. Bonjour le débit de merde le temps des reboots … C’est déjà bien la merde dans ma région.. Hier soir sur une connexion 70Mega j’ai DL à 150Ko/s sur Steam … En sachant que j’ai confirmer que ce n’était pas les serveurs Steam car une connaissance chez Bouygue était au taqué

votre avatar







ToMMyBoaY a écrit :



Et si Juniper est au courant, pourquoi il prend l’initiative d’avertir et corriger de sa propre initiative. Une fuite muselée avant publication ? Pourquoi avertir dans ce cas ? Bref, il y a un truc qui cloche ici.





Bah, pure hypothèse, ils balancent celle là qui est grillée parcequ’ils en ont d’autres sous le coude.


votre avatar

Je ne suis pas du métier, mais ça me semble aussi incroyable que, sur ce type de logiciel, il n’y ait pas de suivi rigoureux des modifications.



Ça ressemble pas mal à un manquement à l’obligation de moyens. “La sécurité est notre métier, mais si on a un dev qui prend du crack et qui code n’importe quoi, on ne pourra pas le virer car on ne sait pas qui code quoi.”



C’est vendeur comme concept !

votre avatar







JoePike a écrit :



D’autre part, Juniper avait indiqué qu’il était extrêmement difficile de savoir qui avait accédé aux équipements durant la période de validité de cette porte dérobée



wouaw !!! j’ai déja vu des failles dans la gestion des changements … mais la !!!!



<img data-src=" />





Franchement, ça semble être de la sous-traitance Indienne s’ils n’ont aucun log de ce genre de modification :/


votre avatar







marba a écrit :



Comme si c’était une possibilité que la NSA n’ait pas backdoor les routeurs Cisco&nbsp; <img data-src=" />





la nsa modifie materiellement le matos informatique (cisco, hp..) pour mettre un backdoor, intercepté entre le fabriquant et le client

la derniere fois qu’ils ont essayé de le faire à distance ils ont réussi à le briquer (exemple syrien ou lybien)


votre avatar

En l’occurrence ils ne parlaient pas des modifs sur le code interne de leurs routeurs mais des logs d’accès des dits routeurs.



Perso ça me semble au contraire tout à fait logique : à partir du moment où le matos a été compromis par une faille qui offre un accès root “open bar” comment Juniper pourrait il assurer la validité des logs ?



Cela dit je plussoie que le fait de dire que des lignes de code ont pu apparaitre “comme ça” dans le code de leurs firmwares sans que personne ne puisse dire exactement quand ni qui les y a mises ça fait vraiment pas sérieux.

Limite si on est versé dans la parano on ne peut qu’envisager que c’est simplement une feature pour rendre leurs routeurs NSA/CIA compliant qui a été implémentée à l’arrache et qui donc à foiré lamentablement. (et du même coup que s’ils ont vendu la mèche, contraints et forcés faut dire, sur celle là c’est qu’il en existe forcément d’autres mieux planquées ailleurs dans le code)

votre avatar







sat57 a écrit :



Tous les juniper qu’utilise orange,cela fait peur.







et tous ceux qu’ils n’utilisent pas <img data-src=" />


votre avatar







sat57 a écrit :



Tous les juniper qu’utilise orange,cela fait peur.



La Justice aussi est équipée exclusivement en Juniper pour leurs pare-feu. Mais à ma connaissance c’est seulement du SRX, on n’a donc pas cette grosse faille. Par contre on en a une autre de taille : ceux qui sont en charge de les administrer (de vrais branquignoles, même pas foutus d’en configurer 2 pareils et qui se demandent pquoi ca fonctionne sur un et pas sur l’autre)… <img data-src=" />


votre avatar

Ben toi t’en donnes beaucoup d’infos …

votre avatar

Quel progrès sur ce site : on commencerait à comprendre que TOUT les générateurs de chiffres aléatoires sont … Véreux ? Donc …. les clefs … aussi ? Génial !!!!



Rappel http://www.ledufakademy.fr/?p=392

votre avatar

Le mec peut aussi avoir mis un identifiant générique qui passe peu importe le device.

votre avatar

Avec eux il y a matière à jeux de mots !

À la grande consternation de mes collègues, d’ailleurs.



Juniperdu, Junipercé, Junipersécuté, Juniper de rien (avec un accent du Maghreb), Juniper de couilles, …



Enfin.

Content de voir que ça ne touche pas leurs switchs EX (qu’on utilise, et qui marchent fort bien), surtout en prenant en compte le conseil du revendeur/installateur qui nous disait, pour en installer toute l’année, « ne mettez jamais à jour le firmware d’un matos Juniper, ça casse souvent plein de choses et ça n’en vaut jamais la peine ! et d’ailleurs j’ai downgradé le firmware de ce que je vous ai installé parce que depuis plus d’un an les versions sont bancales ».

Du coup je suppose que ça va être assez festif dans les prochains jours chez les admins réseau concernés si effectivement les mises à jour pètent des trucs.

votre avatar

Encore libre, mais c’est quoi la cybermap kaspersky sur ton site ? <img data-src=" />

votre avatar







tifounon a écrit :



Les termes “gentils” et “méchants” renvoient p-e à un vocabulaire infantile mais ils sont justes, bien que cela traduit une vision manichéenne de l’individu. Ces deux mots ont bien chacun leur propre signification.&nbsp;



T’aurais préféré quoi ? &nbsp;les “cools” et les f… de p…. ??





pas jusque là mais quelque chose de moins compte de fée avec les méchant d’un coté, les gentils de l’autre (sachant que les américains qui sont censé être les gentils sont les méchants qui ont mis cette faille dans les routeur qui va servir au méchants qui sont pas des gentils, mais aussi à ceux qui sont gentil tout en étant méchant et ceux qui sont méchant mais u peu gentil des fois).


votre avatar

C’est quand même impressionant vu le succès de ScreenOS à travers le monde et ces versions sont particulièrement récentes au regard de l’historique de ce soft.&nbsp; Si ça devait toucher l’IOS de Cisco, ce serait encore plus beau.

votre avatar







darkbeast a écrit :



pas jusque là mais quelque chose de moins compte de fée avec les méchant d’un coté, les gentils de l’autre (sachant que les américains qui sont censé être les gentils sont les méchants qui ont mis cette faille dans les routeur qui va servir au méchants qui sont pas des gentils, mais aussi à ceux qui sont gentil tout en étant méchant et ceux qui sont méchant mais u peu gentil des fois).





Il faut surtout voir le fait que le terme ‘good’ et ‘bad’ est moins enfantin que sa traduction française.


votre avatar

Il s’adapte à ses clients&nbsp;<img data-src=" />

votre avatar

Heu la faille de la connexion admin sur le boitier existant soit-disant à partir de la 6.3.0r17 c’est de la grosse foutaise… J’ai testé cette semaine sur un boitier en 6.3.0r16 et je suis passé…



Edith : cette faille est quand même difficilement exploitable sur un boitier correctement configuré : il faut être dans les réseaux autorisés à administrer l’équipement et connaitre le login / un des logins admin.

votre avatar







ToMMyBoaY a écrit :



C’est quand même impressionant vu le succès de ScreenOS à travers le monde et ces versions sont particulièrement récentes au regard de l’historique de ce soft.&nbsp; Si ça devait toucher l’IOS de Cisco, ce serait encore plus beau.





Comme si c’était une possibilité que la NSA n’ait pas backdoor les routeurs Cisco&nbsp; <img data-src=" />


votre avatar

Ca ne serait jamais arrivé avec le pare-feu OpenOffice <img data-src=" />

votre avatar







marba a écrit :



Comme si c’était une possibilité que la NSA n’ait pas backdoor les routeurs Cisco&nbsp; <img data-src=" />





Oui oui… Evidemment, le fait que Juniper l’ait annoncé de lui-même et engagé une correction en un temps record est une scène de théâtre digne des plus belles pièces.


votre avatar

Ce qui est le plus terrifiant, c’est le nombre d’entreprises (ou administrations) qui pourraient avoir été victimes d’espionnage. L’employé qui a introduit ce code doit couler des jours heureux aux Bahamas ou aux Caïmans…

votre avatar







Shwaiz a écrit :



Ce qui est le plus terrifiant, c’est le nombre d’entreprises (ou administrations) qui pourraient avoir été victimes d’espionnage. L’employé qui a introduit ce code doit couler des jours heureux aux Bahamas ou aux Caïmans…





Comme indiqué par KMD55, une implémentation correcte des équipements suppose que l’exploitation du backdoor se fasse depuis des sources autorisées par la politique de sécurité en place. Donc grosso modo, cela suppose déjà un insider dans la structure de l’entreprise.C’est pas non plus comme si chaque SSG/ISG disposant d’une IP publique devenait une antenne-relais non plus.


votre avatar

ou sous les fondations d’un immeuble/stade/autres ….

votre avatar







JoePike a écrit :



wouaw !!! j’ai déja vu des failles dans la gestion des changements … mais la !!!!





Tu peux en dire un peu plus?

Parce que bonne gestion des changements ou non, je ne vois pas trop ce qu’on peut faire face à quelqu’un qui peut obtenir les droits d’admins, et donc effacer toutes les traces qu’il veut.


votre avatar







JoePike a écrit :



D’autre part, Juniper avait indiqué qu’il était extrêmement difficile de savoir qui avait accédé aux équipements durant la période de validité de cette porte dérobée



wouaw !!! j’ai déja vu des failles dans la gestion des changements … mais la !!!!



<img data-src=" />





LA gestion du changement c’est toujours pareil, même maitrisée tu ne passes pas à côté d’un loup.





ToMMyBoaY a écrit :



C’est quand même impressionant vu le succès de ScreenOS à travers le monde et ces versions sont particulièrement récentes au regard de l’historique de ce soft.  Si ça devait toucher l’IOS de Cisco, ce serait encore plus beau.





Tant qu’Apple n’est pas touché ^^



Mais c’est vrai que c’est quand même énorme que Juniper soit touché :/ la concurence doit commencer à baliser, pas que Cisco.





Shwaiz a écrit :



Ce qui est le plus terrifiant, c’est le nombre d’entreprises (ou administrations) qui pourraient avoir été victimes d’espionnage. L’employé qui a introduit ce code doit couler des jours heureux aux Bahamas ou aux Caïmans…





Ou alors il passe des jours heureux en Lybie à dérouter des Drones US pas sécurisés pour piloner les “alliés”.



Pour mettre siament une porte comme ça, faut quand même :




  • bosser pour un concurent,

  • ne pas utiliser de routeur/firewall d’entreprises,

  • avoir une sacré envie de foutre le dawa partout chez les autres,

  • faire faire une crise cardiaque à quelques personnages du monde IT et politique,



    Ou alors s’être fait viré comme un mal propre de la boite…


votre avatar







ToMMyBoaY a écrit :



Comme indiqué par KMD55, une implémentation correcte des équipements suppose que l’exploitation du backdoor se fasse depuis des sources autorisées par la politique de sécurité en place. Donc grosso modo, cela suppose déjà un insider dans la structure de l’entreprise.C’est pas non plus comme si chaque SSG/ISG disposant d’une IP publique devenait une antenne-relais non plus.





Concernant la faille VPN, il “suffit” d’intercepter le trafic, ce qui est à la portée de tous les ISP et de toutes les boites noires traversés et bien plus encore…


votre avatar

Fallait respecter la procédure au lieu de coller du code en prod <img data-src=" />

votre avatar







KMD55 a écrit :



Concernant la faille VPN, il “suffit” d’intercepter le trafic, ce qui est à la portée de tous les ISP et de toutes les boites noires traversés et bien plus encore…





Oui, mais si un acteur capable d’ordonner une telle chose à un ISP est à l’origine de la vulnérabilité, je ne comprends pas comment Juniper n’aurait pu être au courant. Et si Juniper est au courant, pourquoi il prend l’initiative d’avertir et corriger de sa propre initiative. Une fuite muselée avant publication ? Pourquoi avertir dans ce cas ? Bref, il y a un truc qui cloche ici.


votre avatar

… les attaques et infections en temps réel relevées par kaspersky lab.

C’est surtout ludique…

<img data-src=" />

votre avatar

Mais qui te dit que les switch ne sont pas backdoorés ?

Quel est ton(notre) niveau pour affirmer et être sure ?



LA sécurité est une vaste fumisterie, comme les assurances : la politique de la peur.

Et la peur est un très mauvais allié ….

votre avatar

Ça sent le vécu.

votre avatar

cherches et dis moi ! :-)

Maltego ?

Porte dérobée dans les pare-feu NetScreen : Juniper publie un correctif, Cisco lance un audit

  • De nombreuses versions de ScreenOS concernées

  • Une véritable porte dérobée

  • Les regards se tournent vers la NSA

  • Un cas d'école

Fermer