Situé à la périphérie du réseau et rarement configuré ou surveillé pour éviter toute compromission active, le pare-feu est aujourd'hui une cible vulnérable pour les attaques persistantes et ciblées.
Aucune technologie de sécurité réseau n'est plus omniprésente que le pare-feu. Avec près de trente ans d'histoire de déploiement et une myriade croissante d'entreprises et de politiques de conformité industrielle exigeant son utilisation, peu importe à quel point vous pensez qu'un pare-feu n'est pas pertinent pour prévenir le spectre actuel des cyber-menaces, toute entreprise victime d'une violation et trouvée sans cette technologie peut s'attendre à être pendue, dessinée et écartelée par les actionnaires et les experts de l'industrie.
La majorité du trafic réseau nord-sud traversant les ports associés à HTTP et SSL, les pare-feu des entreprises sont généralement relégués à la suppression du bruit - filtrage ou abandon des services et protocoles réseau qui ne sont pas utiles ou nécessaires aux activités de l'entreprise.
Du point de vue d'un pirate, la plupart des systèmes ciblés fournissant des services HTTP ou HTTPS, les pare-feu ont rarement été un obstacle à la pénétration d'un réseau et au siphonnage de données.
Ce que beaucoup de gens ne réalisent pas, c'est que le pare-feu est lui-même une cible particulièrement intéressante, surtout pour les adversaires sophistiqués. Situé à l'extrémité du réseau et rarement configuré ou surveillé en vue d'une compromission active, le pare-feu représente une tête de pont sûre et précieuse pour des attaques persistantes et ciblées.
La perspective d'obtenir une porte dérobée persistante sur un dispositif par lequel passe tout le trafic du réseau est d'une valeur insurmontable pour un adversaire - en particulier pour les agences de renseignement étrangères. De même que tous les belligérants de la Première Guerre mondiale ont envoyé des équipes de renseignement dans les tranchées pour trouver les lignes télégraphiques ennemies et y installer des équipements d'écoute, ou que des tunnels ont été construits sous le mur de Berlin au début des années 1950 pour permettre aux agences d'espionnage britanniques et américaines d'écouter physiquement les lignes téléphoniques de l'Allemagne de l'Est, les communications d'aujourd'hui traversent l'internet, ce qui fait du pare-feu un point de jonction critique pour l'interception et l'écoute électronique.
Le pare-feu physique est depuis longtemps une cible de compromission, en particulier pour les portes dérobées intégrées. Il y a vingt ans, l'armée américaine a envoyé un mémo avertissant des portes dérobées découvertes dans le produit de pare-feu Checkpoint par la NSA et conseillant de le retirer de tous les réseaux du ministère de la défense. En 2012, une porte dérobée a été placée dans les pare-feu Fortinet et les produits utilisant leur système d'exploitation FortiOS. La même année, le gouvernement fédéral a interdit au fournisseur chinois d'appareils de réseau Huawei d'accéder à toutes les infrastructures critiques des États-Unis après avoir découvert de nombreuses portes dérobées. Plus récemment, Juniper a alerté ses clients de la présence de code non autorisé et de portes dérobées dans certains de ses produits de pare-feu depuis 2012.
Les adversaires parrainés par l'État, lorsqu'ils ne parviennent pas à ouvrir une porte dérobée dans le pare-feu d'un fournisseur, sont malheureusement associés au paiement de faiblesses et de défauts à introduire, ce qui facilite leur exploitation à une date ultérieure. En 2004, la NSA aurait versé 10 millions de dollars à RSA pour s 'assurer que l'algorithme Dual_EC_DRBG de génération de nombres pseudo-aléatoires soit utilisé par défaut dans son kit d'outils cryptographiques BSAFE.
Si ces vecteurs ne suffisaient pas, comme l'ont montré les révélations de Snowden en 2013 et la fuite de données de Shadow Brokers en 2016, les agences gouvernementales n'ont de cesse d'exploiter les vulnérabilités et de développer des boîtes à outils de portes dérobées qui ciblent spécifiquement les produits de pare-feu des principaux fournisseurs d'infrastructures internationaux. Par exemple, le catalogue TAO (Tailored Access Operations) de la NSA de 2008 fournit des détails sur les outils disponibles pour prendre le contrôle des pare-feu Cisco PIX et ASA, des pare-feu Juniper NetScreen ou SSG de la série 500, et des pare-feu Huawei Eudemon.
Enfin, il ne faut pas oublier l'inclusion de portes dérobées conçues pour faciliter l'application de la loi - telles que les fonctions d'"interception légale" - qui, malheureusement, peuvent être contrôlées par un attaquant, comme ce fut le cas dans l'affaire des écoutes téléphoniques en Grèce en 2004-2005, où les capacités d'interception d'un transporteur national ont été prises en charge par un adversaire technique non autorisé.
Comme vous pouvez le constater, il existe une longue histoire de portes dérobées et de menaces qui ciblent spécifiquement les technologies de pare-feu que le monde déploie comme premier passage pour la sécurité de tous les réseaux d'entreprise. Faut-il s'étonner qu'à mesure que notre stratégie de défense en profondeur se renforce et que les nouvelles technologies surveillent de plus près les menaces qui opèrent dans tous les réseaux d'entreprise, le pare-feu devienne une cible encore plus précieuse et plus facile à compromettre ?
Les pare-feu sont notoirement difficiles à protéger. Nous espérons qu'ils émoussent les attaques de tous les attaquants, avec l'espoir (évidemment faux) qu'ils ne sont pas eux-mêmes vulnérables à la compromission. Aujourd'hui, alors que nous nous dirigeons de plus en plus vers le site cloud, nous sommes sans doute plus exposés que jamais aux portes dérobées et à l'exploitation des technologies vulnérables des pare-feux.
Qu'elles soient chargées de protéger le périmètre ou les opérations à l'intérieur du site cloud, les organisations doivent redoubler de vigilance lorsqu'elles surveillent leurs pare-feu pour détecter les compromissions et les portes dérobées. En tant que professionnel de la sécurité, vous devez vous assurer d'avoir une réponse défendable à la question "Comment détecteriez-vous le fonctionnement d'une porte dérobée à l'intérieur de votre pare-feu ?".
Découvrez le rôle caché de l'infrastructure dans la surface d'attaque du centre de données et apprenez à détecter les portes dérobées dans votre centre de données.