Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Utiliser du matériel qui n’est plus mis à jour n’est pas une bonne idée, rappelle le FBI

Alerte Captain Obvious

Utiliser du matériel qui n’est plus mis à jour n’est pas une bonne idée, rappelle le FBI

Continuer à utiliser de vieux produits pour accéder à Internet alors qu’ils ne sont plus du tout sécurisés n’est pas une bonne idée, tout le monde en conviendra. Le FBI tire la sonnette d’alarme sur les routeurs, mais c’est un peu l’arbre qui cache la forêt.

Le 14 mai à 08h17

La semaine dernière, le FBI a publié un bulletin d’alerte « flash »… et à la lecture de son titre, on serait presque tenté de qualifier le Federal Bureau of Investigation de Captain Obvious : « Des cybercriminels ciblent des routeurs en fin de vie pour lancer des attaques et dissimuler leurs activités ».

Ce n’est pas dans les vieux routeurs qu’on fait la meilleure sécurité

Des produits en fin de vie, cela signifie l'interruption des mises à jour de fonctionnalité, mais également de sécurité, quelle que soit la gravité de la faille. Il suffit donc d’une brèche critique et exploitable à distance pour que l’appareil soit ouvert aux quatre vents à n’importe quelle personne malintentionnée, sans possibilité de corriger le tir.

Les pirates se servent ensuite des produits compromis comme point d’entrée pour « installer des logiciels malveillants et utiliser ces routeurs dans des botnets pour lancer des attaques coordonnées ou vendre un accès aux appareils ». Ces routeurs peuvent aussi servir de relais aux pirates pour essayer de cacher leur adresse IP, leur localisation et/ou leur identité. Le FBI donne un exemple : « Des cyberacteurs chinois […] ont utilisé des botnets pour dissimuler des piratages d'infrastructures critiques américaines ».

Des produits Linksys et Cisco pointés du doigt

Dans son bulletin d’alerte, le FBI partage une liste d’une douzaine de produits : les Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, WRT320N, WRT310N et WRT610N, ainsi que les Cisco E1000 et M10. Mais ce ne sont que quelques références dans l’immensité des routeurs laissés à l’abandon par les fabricants.

Le FBI ajoute dans son bulletin une liste d’indicateur de compromissions. Il émet aussi une recommandation : « un utilisateur peut prévenir une compromission en désactivant l'administration à distance et en redémarrant l'appareil ».

Le problème ne concerne pas que les routeurs… loin de là

Le FBI parle des routeurs, mais la problématique est la même sur des smartphones qui sont trop rapidement abandonnés par les constructeurs. Depuis maintenant plusieurs années, Google pousse les fabricants à augmenter la durée du suivi, mais cela reste dans tous les cas largement insuffisant pour les modèles d’entrée et de milieu de gamme.

Rappelons que, le 20 juin, entrera en vigueur une extension du règlement sur l’économie circulaire qui impose des mises à jour logicielles pendant au moins cinq ans après mise sur le marché.

Ce bulletin d’alerte du FBI n’a rien de surprenant, la problématique est connue depuis des années. La partie visible de l’iceberg pour le grand public est certainement la fin de vie de certaines versions de Windows. La dernière en date, Windows 10, ne sera plus maintenue à partir du 10 octobre, en même temps que d’autres produits.

Installer une porte blindée et… la laisser ouverte

Pour les professionnels, Chloé Chabanol (sous-directrice des opérations de l’ANSSI), rappelait une triste réalité : « l’exploitation massive et inquiétante des équipements de bordure », c’est-à-dire les pare-feux, les VPN, les filtres antispams, etc.

Des équipements dédiés à la sécurité… à condition de les maintenir à jour. L’ANSSI donnait l’exemple de pirates ayant ciblé des produits de chez Palo Alto qui comportaient une vulnérabilité critique plus de deux mois après la publication d’un correctif.

Commentaires (33)

votre avatar
Ce que veulent les utilisateurs : du support (très) long terme des produits
Ce que vont faire les fabricants : s'arranger pour que les produits claquent vers la fin du support programmé :D
votre avatar
Les vieux routeurs?
J'ai un RAX200 sorti en 2020, il n'est plus mis à jour.

500€ l'appareil pas mis à jour après même pas 5 ans, le fautif c'est les constructeurs.
Je déconseil Netgear.
votre avatar
Idem. J'avais acheter un routeur netgear il y a un moment déjà. 4 failles zéro day en même pas un mois permettant la prise de contrôle à distance. Et pareil, un arrêt du support très rapide. Depuis je suis passé sur du ubiquiti. C'est le jour et la nuit.
votre avatar
ubiquiti j'en ai entendu que du bien
votre avatar
Ils ont surtout une très forte communauté bien motivée.
Mais je me suis aperçu qu'il y avait des potentiels problèmes de confidentialité : j'ai vu sur mon DNS qu'il y avait des tonnes et des tonnes de requêtes DNS en permanence vers Unifi... Quantitativement c'était les domaines les plus demandés.

J'ai eu un Unifi DreamRouter mais j'ai tourné la page et suis passé sur un routeur flashé avec OpenWRT (GL. Inet gl-mt6000 je crois), flashé par mes soins. Le DNS ne voit plus passer de requête suspecte et j'ai vérifié les trames réseau si le routeur n'essayait pas de contacter des serveurs bizarres, j'ai rien vu de suspect.

J'ai gardé mon antenne wifi Unifi, mais parce que j'ai pu la passer elle aussi sur openWRT.

Et certes l'interface openWRT est moins jolie, mais je sens que j'ai la main et je peux configurer comme je veux.
votre avatar
Heu, alors j'ai acheté un Ubiquity EdgeRouter-X en 2021, la dernière mise à jour a été publiée mi 2023... Pour le support, on repassera, ils ne valent pas mieux que les autres IMHO.
votre avatar
Partir sur des Unifi Dream Machine Pro/SE. Le soft est mis à jour tous les mois ou presque. Le Edge-Routeur est sans doute moins distribué et fait parti de leur ancienne gamme de produit qui a migré fortement sur leurs nouvel OS.

Unifi c'est vraiment un envirronement sympa, même si leur firewall n'est pas équivalent à un Cisco FirewPower ou un Checkpoint NGX... Cela pemet aussi d'installer sur la même appliance d'autre gammes de leur produits ( solution d'accès batiment/identité, caméra avec Protect, et même des sensors IOT ( température/humidité, ouverture, detecteur de présence etc..).
Bref, un joli eco-système pour qui veut y mettre le prix ( 400euros -500Euros). Ils ont aussi une nouvelle gamme moins chère (et moins puissante) qui permet de tester l'environement UNIFI (Cloud Gateway, cloud Gateway Max ou Unifi Express avec un prix de départ à 150Euros, AP WIFI6 inclue.).
votre avatar
Il me semble que le Edgerouter X est un produit qui a été commercialisé en 2017.
votre avatar
J'ai un Microtik qui a cet âge et qui reste MAJ. D'autant plus important qu'au delà de routeur integrant un switch il fait également double AP wifi et que installé dans les combles non habités c'est toujours penible de monter dans ce royaume des araignées changer du matos !
Initialement je l'avais plutôt choisi en raison du support de température étendues car l'amplitude annuelle typique là haut c'est -10/15° à 50/55°C et qu'il offrait -20/80°C avec en plus l'alimentation POE qui evite d'avoir l'élément qui chauffe le plus là haut. La partie alim est elle au frais dans la cave avec le switch qui arrose le RDC et ce routeur combles et le tout comme box et domotique, derrière batterie tampon qui font que je suis le seul dans le quartier a avoir du réseau en cas de coupure secteur.
votre avatar
Question bête mais y'a des failles ? pour moi un bon matos n'aurait jamais de mise à jour, pour la raison qu'il a été testé complètement avant sa mise sur le marché; le fait qu'un nouveau firmware arrive tous les 6 mois et plutôt un signe de non-qualité de mon point de vue.
votre avatar
- Mikrotik pour le routage / Ubiquiti pour le wifi
- Logiciel sur x86 standard pour tout le reste

Netgear, Dlink, Synology, ... poubelle
votre avatar
Je prends plus que du matériel supporté par OpenWRT...
votre avatar
Par exemple ? Y a-t-il un site qui répertorie le matériel supporté ? Merci d'avance.
votre avatar
Une page de leur site peut-être...
votre avatar
https://openwrt.org/toh/start
votre avatar
- Nous allons relancer l'économie !
- Comment ?
- En disant aux gens d'acheter du neuf car le vieux c'est dangereux.
votre avatar
Il serait bon aussi d'avoir une transparence totale sur les mises à jour des box et routeurs des opérateurs en Europe. Faut-il installer son propre routeur en cascade ?
votre avatar
ou remplacer ces box par ton propre routeur.... Il y a des tutos pour faire cela sur le site lafibre.info :francais:
votre avatar
Cisco et linksys - même marque, même base.
Remarque 1: pour les appareils pro, souvent il faut un contra de support pour accéder aux mises à jour logicielles (Lenovo, HP, Cisco, ...)

Remarque 2: la plupart des routeurs communiquent avec le site 'maître' pour le paramétrage, les màj, le oaraméteage depuis un smartphone. Et le paramétrage distant se fait sans validation physique!

Là j'aime bien la Freebox pour ça.

Remarque 3: les lobbies adorent pointer du doigt les équipement chinois dont le mot de passe admin es connu. Là c'est de l'équipement 'américain' raisonnablement sécure par défaut. Alors: backdoor encore?
votre avatar
Mon linksys wrt1900acs v2 pingait le site belkin.com (maison mère de linksys) toutes les minutes jusqu'à ce que je mette openwrt dessus
votre avatar
Une machine de type NUC + OpnSense ici. Les màj sont très régulières, et c'est configurable à l'envi.
votre avatar
ou un NUC ou une VM sous proxmox avec PfSense en DMZ derrière le routeur du FAI et tu dors tranquille...
votre avatar
J'ai du mal à comprendre la partie routeur c'est la même depuis 30ans non ? du coup les failles c'est plutôt du côté des services annexes au routage, je pense en premier lieu à la page d'accès web de la page d'admin.

Plutôt que de pousser des utopiques perpétuelles mises à jour, il faudrait peut-être simplement imposer des standards de qualité, pour moi le prb de fond est un prb d'architecture / conception / ergonomie :
- la page web admin ne devrait jamais être accessible depuis le WAN
- le mot de passe initial ne doit pas être commun à un modèle (voire marque !),
- les process dans le routeur devraient être isolé en ring de sécurité par ex au niveau des couches OSI : la partie switch 2 ne doit pas pouvoir communiquer avec la partie routeur (couche 3), les appli (NAS, VM, firewall) sur les couches 3+ ne doivent pas pouvoir communiquer avec les couches inférieurs.

De ma fenêtre, avec ces quelques principes la sécurité est largement améliorée : la couche OSI 2 ne peut pas réellement être exploitée, pour la couche 3 on pousse la sécurité (programmation formelle, rust, tests complets, aux limites), la partie applicative reste optionnelle / désactivable : en cas de bug hors période de garantie, il "suffit" de la désactiver.
votre avatar
J'ai du mal à comprendre la partie routeur c'est la même depuis 30ans non ?
Non.

L'IP v6 n'était pas dans les routeurs il y a 30 ans.
Le Wi-Fi n'a pas 30 ans et a évolué fortement depuis. Quand on parle de routeur, on parle souvent de Wi-Fi intégré au niveau produit grand public.
Ethernet lui-même a évolué avec les 1, 2,5 et le 10 Gb/s ; le 100 Mb/s a lui même à peine 30 ans.
La fibre a aussi apporté des normes supplémentaires à supporter.

Et toutes ces augmentations de débit ont nécessité de faire évoluer la partie routage pour suivre les débits.
votre avatar
Je crois que presque tout est dit. Je rajouterai le PoE et le WOL.

Je rajouterai les évolutions du point de vue des algorithmes cryptographiques (au sens large, j'y inclus les fonctions de hashage) avec de nouveaux algorithmes à prendre en compte et les anciens à supprimer.

Les évolutions de protocole (SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3).

Bref, le réseau, qui semble quelque chose de figé et est réalité très mouvant. Les routeurs pouvant avoir une durée de vie très longue, c'est important de pouvoir les mettre à jour.
votre avatar
Même remarque que précédemment : POE, WOL, TLS ça n'a aucun rapport avec le routage. Si l'absence de màj est problématique c'est que l'archi est mélangée, un routeur fait passer du SSL du TLS peu importe : il agit à la couche 3 de l'OSI et est agnostique des couches supérieures.
votre avatar
Ben non. IPSec opère à la couche 3 de l'OSI par exemple.
WOL, il faut pouvoir router les paquets au bon endroit.
TLS pour le VPN, etc.

[edit]
et on peut même rajouter les VLAN.

edit bis : pour le TLS, même sans parler de VPN, il faut bien pour la partie configuration, que ce soit en HTTP ou en SSH, même si c'est restreint au réseau local et pas depuis le WAN. Sinon, n'importe qui sur le réseau pourrait prendre le contrôle du routeur en écoutant ce qui se passe...
votre avatar
IPSec, TLS, SSH sont complètement hors sujet : un routeur qui à 30ans va les faire passer sans broncher, la raison est très simple : c'est encapsulé dans de l'IP (couche 3) on peut encapsuler ce qu'on veut, un routeur n'a pas a regarder le contenu d'une trame IP, il regarde l'entête pour faire son travail de routage et envoyer vers sa bonne sortie réseau.

Le WoL pour ton info est encapsulé dans de l'IP multicast : Rien de neuf donc, la "nouveauté" est qu'un routeur moderne va déborder de son rôle et peut faire le firewall pour bloquer ou rerouter les paquets WoL, pour se faire il décapsule IP, et trouve un paquet UDP cheloux, il décapsule UDP et trouve 102 octets bien connus contenant l'adresse MAC de destination.
Il prend donc le rôle du switch (couche OSI 2) tout en mélangeant les rôles avec la couche 3 pour le reroutage des paquets WoL.

Concernant ta remarque sur le management là aussi c'est un peu hors sujet, la sécurité d'un routeur : c'est surtout de ne jamais exposer la page d'admin aux 4 vents. Un routeur des années 2000 avait une prise admin local dédiée et surtout une prise série, les admin un peu sérieux désactivait la prise admin local RJ45, pour éviter l'erreur de branchement et se promenait avec un portable équipé d'un port série pour mettre à jour les tables de routage. A aucun moment il ne serait venu à l'idée de router la page d'admin d'un routeur sur le réseau ! (c'est le cas par défaut de tout ce qui est moderne ! certains routeur étant même cloudé automatiquement !)

A nouveau l'amalgame que vous faites (fred42 et toi) est que un routeur "pure" n'existe plus vraiment, la "boite routeur" est une routeur systématiquement associé à un AP wifi, un firewall, un server web d'admin, un switch, un client / server de VPN, un server DHCP...

Tous ces services sont mélangés et sans doute mal codé, car une faille sur un truc anecdotique permet souvent d'escalader jusqu'à pouvoir intercepter / re-rerouter du trafic.
votre avatar
Avec ton commentaire, je continue de penser que tu amalgames routeur et switch. Ce que tu dis, je suis 100% d'accord... en ce qui concerne les switch ! Prend un switch manageable et tu auras ce que tu attends d'un routeur pure aujourd'hui (sauf peut être l'interconnexion de réseau).

Un routeur, même sans VPN, DHCP, etc, aura besoin de TLS pour sa configuration (en 2000 le port série était peut être courant pour la configuration, mais ce n'est plus le cas en 2025).

Dire aujourd'hui qu'un routeur devrait être "pur" et donc dépourvu de fonctionnalités de sécurité indispensable comme un firewall, ça me parait dingue (attention, je ne dis pas qu'il ne doit pas être possible de déléguer tout cela à un firewall "externe").

Ce que tu appelles "routeur pur" (je comprends le concept) me parait tout simplement anachronique vis-à-vis du monde dans lequel nous sommes aujourd'hui. Ton routeur pur n'est, au final, qu'un moyen de fournir internet. Mais le rôle d'un routeur ne se limite pas à la fourniture d'internet. Un routeur est dédié à l'interconnexion de réseaux. C'est son rôle. (et fournir internet n'est qu'un cas particulier d'interconnexion de réseaux).

Et pour tenir se rôle, il a besoin d'un minimum de services, qui nécessite d'avoir une pile cryptographique à jour.
votre avatar
IPv6 je veux bien !
Pour le reste c'est hors sujet pour un routeur (au sens logiciel / réseau), concernant la boite en plastique souvent appelé routeur qui fait autre chose que du routage je suis d'accord avec toi, et c'est justement mon propos : en séparant mieux les couches logiciel on n'aurait pas autant de failles critiques.
votre avatar
Ne confondrais-tu pas routeur et switch, par hasard ?
votre avatar
Moi je suis assez d'accord avec ce propos.
Les fonctions les plus basiques sont assez anciennes, sèches et simples (NAT, firewall, tunelling site à site). Sur la partie serveur VPN ouverte à toutes les connexions entrantes, je délèguerais à un device à jour derrière perso.
Un routeur/firewall dont on n'accède pas à l'admin est globalement assez difficile à compromettre.
Les failles dont j'ai pu avoir connaissance récemment sur du matos de routage portaient sur des services avancés et/ou propriétaires.

S'il n'est pas au dernier standard en matière de débits (le sujet du chiffrement Wifi mis à part, mais pas vraiment exposé sur Internet), ça n'en reste pas moins sûr - c'est juste plus lent.
Est-ce qu'il faut absolument avoir du 2,5 Gbps sur son LAN, pas sûr.
Est-ce que du 100 Mbps suffit chez Mémé ? Sans doute.
Est-ce que la planète s'en porterait mieux ? Indubitablement.

Par contre, si vous avez des WRT qui trainent, il vaut certainement mieux les faire tourner avec un tomato ou assimilé que de les laisser sur leur soft d'origine, tout bien considéré :)
votre avatar
c'est exactement mon propos merci !
J'ai l'impression qu'il y'a aussi un risque de compromission côté implémentation: les couches OSI n'étant pas reproduite logiciellement dans nos routeurs, l'exploit dans une fonction avancée, peut donner accès aux fonctions de bases du routage.
Pour reprendre mon ex : la partie en charge de gérer le WoL est probablement coder dans la boucle de code gérant le routage, un dépassant de buffer dans cette partie pourrait permettre d’injecter du code dans la partie routage


routage(paquet): destination {
headIpv4 = lireEnteteIp(paquet);

// Rustine du stagiaire : Gérer WoL
if(headIpv4.ipDest = "255.255.255.255" && headIpv4.UDP) {
udpWOL = decapsuleIp(paquet);
wol = decapsuleUDP(updWOL);
...
}

//lire la table de routage
...

}

si tu un vilain forge un paquet IP débordant le buffer de decapsuleIP, du code malveillant pourrait être injecté dans le process de routage, alors qu'un routeur n'a aucune raison de décapsuler IP

Utiliser du matériel qui n’est plus mis à jour n’est pas une bonne idée, rappelle le FBI

  • Ce n’est pas dans les vieux routeurs qu’on fait la meilleure sécurité

  • Des produits Linksys et Cisco pointés du doigt

  • Le problème ne concerne pas que les routeurs… loin de là

  • Installer une porte blindée et… la laisser ouverte

Fermer