C’est une affaire de contrefaçon à grande échelle qui a été mise au jour par les chercheurs de F-Secure. Des switches siglés Cisco, et qui n’en étaient pas, contenaient des mécanismes de contournement des contrôles d’authentification.
L’histoire se déroule dans une entreprise dont l’IT a entrepris de patcher ses switches Cisco. Comme cela arrive souvent avec les mises à jour, certains appareils peuvent connaître des dysfonctionnements après leur rafraîchissement. Rien de bien nouveau, cela arrive souvent. Mais dans le cas des modèles de notre entreprise, des switches Cisco de la série Catalyst 2960-X, ils se sont tout bonnement arrêtés de fonctionner. Intriguée, l’entreprise a fait appel à un intégrateur spécialisé qui a découvert le pot aux roses : les switches étaient des contrefaçons.
L’affaire ne pouvait pas en rester là. L’entreprise, inquiète pour la sécurité de ses données, a voulu en savoir plus sur les implications sécuritaires. Elle a fait appel à F-Secure qui a dépêché son équipe de sécurité hardware de sa branche F-Secure Consulting. Après des analyses approfondies, les spécialistes sont arrivés à la conclusion que les switches contrefaits ont été conçus pour contourner les processus d’authentification des composants système. Les spécialistes ont enquêté sur deux versions contrefaites des commutateurs de la série Cisco Catalyst 2960-X Series.
Des faussaires qui ont des moyens techniques et industriels
« Ces contrefaçons étaient similaires à des commutateurs Cisco authentiques, tant du point de vue physique qu’opérationnel, explique le rapport. L’une des unités contrefaites était particulièrement fidèle à l’original : soit les contrefacteurs ont investi massivement dans la reproduction de la conception originale, soit ils ont eu accès à une documentation technique exclusive leur permettant de créer une copie convaincante ».
À ce stade, et le moins qu’on puisse dire, c’est que ces faussaires ont les moyens de rassembler les données techniques, quel que soit le procédé utilisé : ingénierie inversée ou espionnage industriel. Ils ont également les moyens industriels, et il faut tout un écosystème, pour fabriquer des contrefaçons presque aussi vraies que les originaux. Et par-dessus le marché (de dupes), ils ne se sont pas privés d’aménager des accès dérobés et des ouvertures qui permettent, à eux ou à des groupes de hackers affidés, ou clients (parce que ce genre de failles se vend très bien sur le Dark web), de profiter du boulevard pour perpétrer leurs méfaits.
D’après les chercheurs, ces contrefaçons ne possèdent pas de fonctions de type porte dérobée. Néanmoins, ces appareils emploient diverses mesures pour tromper les contrôles de sécurité. « Il semble, par exemple, que l’un d’eux exploite une vulnérabilité 0-day permettant de tromper les processus de démarrage, pour que le micrologiciel falsifié ne soit pas détecté », détaille le rapport.
« Si c’est trop beau, c’est qu’il y a un loup »… ou plusieurs
« Nous avons découvert que ces contrefaçons pouvaient contourner les contrôles d’authentification, mais nous n’avons pas trouvé d’indices suggérant que ces appareils présentaient d’autres risques », a déclaré Dmitry Janushkevich, consultant senior de l’équipe Hardware Security de F-Secure Consulting et auteur principal du rapport. « Les motivations des faussaires se limitaient probablement à gagner de l’argent en vendant ces composants. Mais d’autres individus malveillants utilisent ce même type d’approche pour installer des backdoors au sein des entreprises. Voilà pourquoi il est important de contrôler minutieusement tous les équipements potentiellement contrefaits ».
Que l’entreprise ait acheté ces switches de bonne foi ne fait aucun doute. Du matériel réseau conçu, fabriqué et vendu par des équipementiers légitimes est un très bon exemple. Ayant une excellente réputation due à une ingénierie de pointe, ces produits se vendent à des prix élevés. Des prix trop bas devraient inciter à la prudence. Aussi, la morale de cette histoire saute aux yeux : « si c’est trop beau, c’est qu’il y a un loup ». Sauf que dans le cas présent, il y avait deux loups dont un beaucoup plus dangereux pour la pérennité de l’entreprise, car il offrait un portail pour l’accès au SI et l’exfiltration de données.