Des chercheurs ont rendu publique l’existence d’un ensemble de vulnérabilités baptisé Ripple20, dans une bibliothèque logicielle utilisée pour le protocole de transfert de données TCP/IP.
Cette dernière étant intégrée massivement par de nombreuses entreprises à travers le monde dans leurs applications, des centaines de millions d’objets connectés sont impactés par ces failles permettant notamment la prise de contrôle à distance.
De l’imprimante à la pompe à perfusion, en passant par les équipements réseau
La bibliothèque logicielle éditée par la société Treck est largement utilisée depuis une vingtaine d’années par de nombreux constructeurs de domaines variés, allant des PME aux sociétés multinationales telles que HP, Schneider Electric, Intel, Caterpillar, Cisco…
Elle est utilisée dans le cadre de la production de tous types d’appareils et de systèmes qui requièrent une connexion à un réseau TCP/IP.
Le laboratoire JOSF cite dans son communiqué les productions d’appareils industriels, de composants de réseaux électriques, d’équipements médicaux, d’appareils domestiques, de périphériques réseau, d’appareils d’entreprise, de terminaux de paiement, d’équipements dans le secteur des énergies, de l’aviation, des télécommunications…
Des vulnérabilités critiques et des impacts importants
Parmi les 19 vulnérabilités découvertes, Ripple 20 comprend 4 vulnérabilités critiques, avec des impacts potentiellement très graves.
Un attaquant peut par exemple :
- prendre le contrôle des appareils concernés, dès qu’ils sont connectés à Internet ;
- porter atteinte à l’intégrité et à la confidentialité des données ;
- récupérer les informations contenues ou transitant dans les appareils (ex : imprimantes, objets connectés, flux de données bancaires, etc.)
- cibler d’autres périphériques d’un réseau interne par rebond ;
- infiltrer un appareil connecté et y rester caché pendant des années ;
- prendre le contrôle de tous les appareils d’un réseau qui seraient concernés par cette faille ;
- provoquer un déni de service à distance (indisponibilité des données).
Devant la gravité des impacts potentiels, une équipe internationale s’est constituée depuis septembre 2019, date de la découverte de Ripple20, autour de JOSF et de Treck. Elle regroupe plusieurs organismes internationaux tels que le CERT Coordination Center (Organisme coordinateur des Centres d’alerte et de réaction aux attaques informatiques) ou le CISA (Agence Américaine de sécurité pour la Cybersécurité et les Infrastructures), dans le but de lister et de prévenir les centaines de clients de Treck et d’utilisateurs de la bibliothèque logicielle pour que des correctifs soient appliqués sur les appareils concernés.
Malheureusement, il est à craindre que de très nombreux appareils ne fassent jamais l’objet de ces correctifs : la diffusion de la bibliothèque s’est fait à une telle échelle d’une telle ampleur depuis ces vingt dernières années, que l’objectif semble impossible à atteindre. Il est extrêmement difficile d’identifier les constructeurs ou utilisateurs de la bibliothèque logicielle, certains produits ne sont plus suivis par leurs constructeurs, certaines entreprises ayant produit des objets concernés ont disparu, certaines utilisations de la bibliothèque de Treck étant méconnu du constructeur, ou encore certains objets, de par leur conception, ne peuvent techniquement pas être mis à jour…
De bons réflexes à avoir
Il y a plusieurs moyens pour mitiger de telles failles de sécurité.
Chez ICODIA, nous avons par exemple décidé d’isoler systématiquement dans des réseaux sécurisés tous les composants non essentiels du réseau, comme les interfaces d’administration des onduleurs, des switchs, les caméras IP, les capteurs, etc.
Nous considérons par défaut que toutes les interfaces utilisées sur ces composants dédiés ne sont pas sécurisés, ou si peu… La faille Ripple20 n’a donc pas d’impact sur notre infrastructure, puisque nous avions déjà configuré ce matériel sur des réseaux physiquement sécurisés, accessible uniquement via une passerelle proxy pour certains collaborateurs. Il n’y a donc jamais de connexion sur ce matériel en direct.
Pour tous les composants importants du routage, et surtout transitant tous les flux d’Internet, l’utilisation de composants open source et d’une équipe dédiée (ingénieurs, développeurs) permet d’avoir une réactivité optimale en cas de faille de ce genre. Nous avons fait ce choix car il nous offre la possibilité de modifier et d’intervenir à tout moment sur les programmes des outils que nous développons et exploitons.
Pour conclure, il est donc important d’isoler tous ces composants et d’éviter le plus possible une connexion directe depuis l’extérieur sur ce type de périphériques, très souvent faillibles, même en dehors de Ripple20…