Nouvelles tensions entre les États-Unis et Royaume-Uni face à la Russie. Les deux alliés accusent le gouvernement de Vladimir Poutine de pousser des groupes de pirates à s’en prendre aux équipements réseau pour mener diverses campagnes cybercriminelles. La Russie dément avec véhémence ces allégations.
Hier, le FBI, le DHS (Department of Homeland Security) et le NCSC (National Cyber Security Centre, branche cyberdéfense du GCHQ anglais) ont émis hier soir une alerte commune. Les agences y dénoncent les actions de la Russie, qui encouragerait des groupes de pirates à se livrer à de nombreuses campagnes de cybercriminalité.
Plus précisément, les forces de l’ordre (et du renseignement) pointent les équipements, qui seraient les cibles favorites des pirates. Ces derniers lanceraient dans la plupart des cas des attaques par l’homme du milieu (MITM), s’insinuant dans les réseaux afin de dérober ou manipuler les informations qui y circulent.
En plus de dénoncer les agissements de la Russie (l’alerte ne laisse aucune ambigüité), les agences en profitent pour lancer un cri d’alarme vers l’ensemble des acteurs impliqués, afin qu’ils se penchent sérieusement sur leurs défenses. Certaines infrastructures sont si faiblement protégées que les pirates n’auraient pas à mener de campagnes pointues pour prendre le contrôle des routeurs et autres produits clés.
« Les équipements réseau sont des cibles idéales »
« La majorité du trafic d’une organisation ou d’un particulier doit traverser ces appareils critiques. Un acteur malveillant ayant une présence dans le routeur de passerelle d’une entreprise a la possibilité de surveiller, modifier et interdire le trafic vers et depuis l’infrastructure » prévient l’alerte commune. Dans le système interne de routage d’une entreprise, les conséquences sont les mêmes, avec la possibilité d’établir des relations de confiance avec des éléments étrangers, permettant ensuite d’autres opérations.
Le message est clairement adressé aux structures qui possèdent encore de vieux équipements : « Les organisations utilisant d’anciens protocoles sans chiffrement pour gérer les hôtes et services facilitent la récolte d’identifiants par ces acteurs malveillants ».
Cet avertissement en rappelle un autre, qui avait attiré les foudres de Donald Trump peu de temps après son investiture. Il tirait alors un sombre bilan des défenses américaines, tiré de plusieurs rapports dressant un état des lieux tout aussi calamiteux dans certains domaines. C’était particulièrement le cas des opérateurs d'importance vitale (OIV) du pays et de leurs systèmes ICS-SCADA (Industrial Control Systems-Supervisory Control and Data Acquisition).
Une piqure de rappel donc, d’autant que l’actualité des dernières années fournit assez d'exemples. On se rappelle ainsi comment une partie de l’Ukraine avait été privée d’électricité à cause d’un malware retrouvé dans au moins une centrale. D’autres bestioles numériques avaient été repérées chez des OIV. Benoit Grunenwald, directeur des opérations chez ESET France, nous indiquait alors que l’Ukraine était le terrain de jeu des pirates cherchant à éprouver leurs créations. Les soupçons s’étaient plus tard tournés vers la Russie.
Des campagnes aux objectifs multiples
Les attaques menées sur les équipements réseau dureraient depuis au moins 2015. Le gouvernement américain recevrait ainsi de multiples alertes depuis au moins trois ans, tant de ses agences que d’acteurs privés. Les opérations menées concernent cependant le monde entier, et non les seuls pays à l’origine du bulletin.
L’alerte table sur un certain nombre de réseaux déjà compromis. Les entreprises et autres organisations devraient donc se pencher en priorité sur les équipements utilisant des protocoles non chiffrés et des services sans authentification, insuffisamment renforcés avant l’installation ou tout simplement ceux n’étant plus supportés par leurs constructeurs, donc laissés sans correctifs de sécurité. Un seul de ces facteurs peut permettre des intrusions intermittentes ou permanentes.
Les exemples donnés ne surprendront pas les administrateurs réseau : Telnet via le port TCP 23, HTTP via le port 80, SNMP via les ports 161 et 162, Cisco Smart Install (SMI) via le port 4786, etc. Le plus souvent, des paquets SNMP ou SMI spécialement conçus sont envoyés aux équipements, leur faisant émettre leur configuration via protocole TFTP (port UDP 69). Les adresses sources peuvent dans les deux cas être maquillées.
Les brèches détectées sont utilisées pour des missions variées : identifier les appareils vulnérables, extraire les configurations, cartographier les architectures réseau, récolter des mots de passe, se faire passer pour des utilisateurs disposant de privilèges, modifier des firmwares, des systèmes d’exploitation ou des configurations, ou encore copier ou rediriger le trafic vers des serveurs contrôlés par les pirates.
Des pistes fournies aux acteurs impliqués
Bien que l’alerte fasse largement parler d’elle depuis hier à cause de son doigt pointé vers la Russie, elle fournit également de nombreux conseils pour améliorer la situation. Les recommandations concernent pour partie les protocoles précédemment abordés, mais toutes passent par un examen complet des réseaux et cas d’usages.
Les agences ajoutent des conseils plus généraux. Par exemple, aucune organisation, quelle qu’elle soit, ne devrait autoriser dans ses réseaux un équipement utilisant encore des protocoles non chiffrés. Si SSH, HTTPS et TLS ne peuvent être mis en place, il est recommandé de passer par un VPN chiffré pour les opérations de gestion et maintenance depuis l’extérieur, les deux extrémités étant mutuellement authentifiés.
Plusieurs conseils s’appliquent également aux constructeurs, y compris l’utilisation systématique de protocoles récents et chiffrés, ainsi que la désactivation de tous les services inutilisés. Difficile de ne pas penser aux objets connectés, dont les nombreuses webcams produites en Asie par des entreprises n’ayant clairement pas la sécurité comme priorité. On se souviendra en particulier de modèles Foscam aux failles de sécurité si béantes qu’elles constituaient un livre blanc des mauvaises pratiques.
Notez que Cisco avait de son côté émis le 5 avril une note avertissant ses clients que ses produits Smart Install étaient la cible d’attaques. Les entreprises étaient alors encouragées à réviser leur infrastructure et à désinstaller le client Smart Install partout où il n’était pas nécessaire.
La Russie nie
À Reuters, un porte-parole du gouvernement anglais n’a pas mâché ses mots : « C’est un nouvel exemple du mépris de la Russie pour les normes internationales et l’ordre mondial, cette fois à travers une campagne de cyberespionnage et d’agression qui tente de perturber les gouvernements et de déstabiliser les entreprises ». Le message envoyé est donc particulièrement clair.
Et c’est l’ambassade de Russie à Londres qui a réagi, en attendant un mot officiel du Kremlin : les accusations portées par l’alerte conjointe sont « de nouveaux exemples de la politique irresponsable, provocatrice et sans fondement contre la Russie ». En d’autres termes, le pays n’est pour rien dans ces attaques.
Sur le sujet, la stratégie russe comprend celle du déni plausible. Le pays passe en partie par des groupes de cybercriminels pour ses attaques, sans liens officiels avec le Kremlin. S'ils sont pris la main dans le sac, le gouvernement peut facilement nier toute implication ou soutien.
En juin, Vladimir Poutine avait même décrit ces « hackers patriotes ». « Les hackers sont des esprits libres, comme les artistes. S'ils sont d'humeur le matin, ils se lèvent et peignent. C'est pareil pour les hackers. Ils se lèvent et s'ils sont patriotes et lisent de mauvaises choses sur la Russie, [...] ils contribuent à la défense contre ceux qui disent ces mauvaises choses », a-t-il déclaré, en niant tout implication directe dans les tentatives d'influence d'élections... malgré l'action de l'Agence de recherche Internet russe.
La tension est cependant palpable, alors que la Russie doit héberger dans deux mois la coupe du monde de football. Ces accusations sont d’autant plus visibles qu’elles sont loin d’être les premières. Les États-Unis l’ont notamment accusée d’ingérence dans les élections, menant au numéro de funambule opéré par Donald Trump qui, longtemps, a cherché à épargner Vladimir Poutine.
