Nomad_Soul - Fotolia
Attaquer les serveurs de temps pour viser d’autres protocoles
Des chercheurs viennent de se pencher sur le risque d’attaques sur le trafic non protégé des serveurs de temps, suivant le protocole NTP. Une étape susceptible d’affecter la sécurité de nombreux systèmes.
Et s’il suffisait d’attaquer un protocole vulnérable et ouvert tel que NTP pour en rendre d’autres vulnérables, alors même que toute la communauté s’échine à en renforcer la sécurité ? C’est en substance ce sur quoi alertent quatre chercheurs de l’université de Boston.
Dans une étude, ils examinent « le risque que des attaquants réseau puissent exploiter le trafic réseau NTP non authentifier pour altérer le temps sur des systèmes clients ». Pour mémoire, le protocole NTP est utilisé par les systèmes connectés pour obtenir une référence temporelle synchrone. Non chiffré et non authentifié, ce protocole peut être plus aisément attaqué que d’autres. Fin 2014, des chercheurs ont d’ailleurs dévoilé plusieurs vulnérabilités susceptibles de permettre à des attaquants de compromettre un vaste éventail de systèmes.
Cette fois-ci, les chercheurs s’interrogent sur la robustesse non pas d’implémentations, mais du protocole en lui-même, et notamment de « l’intégrité des informations temporelles transmises par NTP ». Une question d’autant plus importante, relèvent-ils, que « le temps est une composante fondamentale d’applications informatiques, et qu’il est lourdement utilisé par nombre de protocoles de chiffrement ».
Et de montrer qu’il est en fait possible de conduire différents types d’attaque pour effectivement compromettre ces informations clés. Des attaques conduites par pirates « occupant une position privilégiée sur le chemin entre le client NTP et l’un de ses serveurs », ou d’autres « où l’attaquant peut être n’importe où sur le réseau et n’observe pas le trafic entre client et l’un de ses serveurs ».
Deux vulnérabilités – CVE-2015-5300 et CVE-2015-7704 – permettent de conduire de telles attaques pour, in fine, faire dériver l’horloge des équipements clients de quelques heures… voire de plusieurs années dans le cas de la première vulnérabilité. Pire : une attaque apparaît possible en jouant sur la fragmentation des paquets IPv4, sans donc mettre en cause des problèmes spécifiques à NTP.
Dans leur rapport, les chercheurs détaillent les implications : en ramenant par exemple un client dans le passé, un attaquant peut le conduire à accepter un certificat TLS révoqué. Et ce n’est qu’un exemple : comprendre le temps de référence peut également permettre de conduire des attaques sur les serveurs DNS, sur la nouvelle infrastructure de routage sécurisée avec BGP, RPKI, sans compter les monnaies numériques telles que Bitcoin, ou encore les serveurs d’authentification.
Des correctifs ont déjà commencé à être déployés par certains, dont Cisco. Les chercheurs développent plusieurs recommandations pour renforcer la robustesse du protocole NTP et, in fine, celle de tout Internet.