xiaoliangge - Fotolia
Cette fois-ci, les Etats-Unis accusent la Russie de pirater des routeurs en masse
Le FBI, le ministère américain de l’Intérieur et le centre britannique de sécurité informatique accusent conjointement la Russie de détourner des équipements réseau. De quoi faire oublier leurs propres activités ?
Dans une noticed’avertissement conjointe, publiée par Cert-US, le FBI, le ministère américain de l’Intérieur (DHS) et le centre britannique de sécurité informatique (NCSC, dépendant du renseignement de Sa Majesté, le GCHQ) mettent en garde : selon eux, des acteurs malveillants soutenus par l’état Russe « visent des appareils d’infrastructure réseau ». Les opérations seraient en cours depuis 2015, au moins, et viseraient à conduire des attaques par interception pour « soutenir de l’espionnage, extraire de la propriété intellectuelle, maintenir un accès persistant aux réseaux des victimes, et potentiellement poser les bases d’actions offensives futures ».
L’ensemble peut paraître impressionnant, mais le détail a de quoi laisser perplexe.
Des vecteurs connus
De fait, les auteurs de la notice indiquent que les attaquants s’intéressent en particulier aux équipements exposant leurs services Telnet, Cisco Smart Install et SNMP, voire encore http : « les bannières d’ouverture de session et autres données collectées à partir des services actifs peuvent révéler le fabricant et modèle de l’appareil, ainsi que des informations sur l’organisation ». Rien qui saurait surprendre un utilisateur régulier de moteurs de recherche spécialisés comme Shodan.
Le reste ne renvoie en fait qu’à Mirai et ses variantes, ou encore aux attaques visant la vulnérabilité CVE-2018-0171 du protocole Smart Install sur lesquelles Cisco vient récemment d’alerter. Et qui auraient fait notamment des victimes en Iran. A leur propos, Phil Neray, vice-président de CyberX, s’interrogeait d’ailleurs : cette attaque sur des commutateurs iraniens « pourrait-elle être le premier exemple d’une nouvelle approche plus active du Cyber Command US, ou est-ce une opération de leurre conduite par un groupe malveillant » ?
Le lourd passé des Etats-Unis
Ce n’est d’ailleurs pas la première fois que les Etats-Unis sont soupçonnés de s’attaquer à des équipements réseau. Des documents révélés par Edward Snowden fin 2013 laissaient ainsi à penser que l’agence américaine du renseignement, la NSA, avait infiltré plus de 50 000 réseaux informatiquesà travers le monde. Début 2017, des documents attribués à la CIA et dévoilés par Wikipeaks levaient le voile sur une vulnérabilité critique affectant les logiciels embarqués des routeurs et commutateurs Cisco, IOS et IOS XE. Quelques mois plus tard, re-belotte, avec cette fois-ci le projet CherryBlossom décrit comme « fournissant des moyens de surveillance de l’activité en ligne » sur des cibles précises, par le biais de la compromission d’équipements réseau.
Tout récemment, c’est le maliciel Slingshot qui a été attribué au renseignement américain. S’appuyant sur la compromission de routeurs MicroTik, il aurait été utilisé pour espionner les membres des groupes Daesh et Al-Qaïda, dans l’ouest Africain et au Moyen-Orient.
Un contre-feu ?
En septembre 2016, le Cert-US avait rebondi sur plusieurs vulnérabilités d’équipements réseau, à commencer celle permettant l’attaque SYNful Knock, dévoilée un peu plus tôt, pour alerter sur la nature critique de ces systèmes. Mais là, il n’était pas question de désigner quelque adversaire.
Sur Twitter, certains ne manquent d’ailleurs de soulignerl’ironie de la situation, quand d’autres s’interrogentla matérialité d’accusations lancées finalement sans véritable élément venant les étayer.
Point positif, toutefois, relevépar Costin Raiu, expert de Kaspersky : la recommandation formulée par le Cert-US dans sa notice, à l’intention des constructeurs de routeurs, d’intégrer à leurs équipements un moteur de filtrage supportant les règles de détection Yara.