Des chercheurs de la KU Leuven ont découvert des millions de ‘tunneling hosts’ mal sécurisés. Il s’agit là de serveurs ou d’ordinateurs qui servent de stations intermédiaires pour connecter les réseaux informatiques entre eux. En tout, plus de quatre millions d’hôtes vulnérables ont été identifiés.
Des membres du groupe de recherche DistriNet de la KU Leuven ont envoyé des paquets de test spéciaux et inoffensifs contenant des données à des millions d’appareils dans le monde entier et ont vérifié si les serveurs les laissaient passer. Les paquets utilisaient un ‘tunneling protocol’, une méthode spécifique d’encapsulage.
‘Les protocoles couramment utilisés sont ‘IP in IP’ et GRE (Generic Routing Encapsulation), mais ces protocoles ne permettent pas le cryptage ou le contrôle de l’expéditeur’, explique le professeur Mathy Vanhoef (KU Leuven). ‘Dans ce but, il faut une sécurité supplémentaire, Internet Protocol Security, et c’est là que le bât blesse: cette sécurité supplémentaire est souvent négligée. En tout, nous avons trouvé plus de 3,5 millions d’hôtes vulnérables fonctionnant avec des adresses IPv4, mais également plus de 700.000 d’autres utilisant les nouvelles adresses IPv6.’
Des milliers de routeurs domestiques également vulnérables
Les infrastructures vulnérables étaient réparties dans le monde entier, mais la Chine, la France, le Japon, les Etats-Unis et le Brésil étaient les plus exposés. Il s’agissait parfois de réseaux de grandes entreprises telles que China Mobile ou Softbank. En France, des milliers de routeurs domestiques d’un même fournisseur d’accès internet étaient concernés. Chez nous, de nombreux clients de Telenet se sont également révélés vulnérables. Toutes les parties impliquées ont entre-temps été prévenues, et les hôtes ont été mieux sécurisés.
L’enquête a montré que les hôtes vulnérables peuvent être utilisés par des hackers pour masquer leur identité ou leur localisation, et fournir un point d’entrée pour s’introduire dans un réseau. Parallèlement, ils peuvent également être utilisés pour des attaques DoS (Denial of Service). Ce genre d’attaque submerge un serveur de requêtes jusqu’à ce qu’il ne puisse plus faire face à l’afflux et s’arrête de fonctionner. Les chercheurs ont même découvert trois nouveaux types d’attaques capables d’abuser spécifiquement les tunneling hosts vulnérables.
Maillon le plus faible
Les recherches démontrent qu’un réseau est limité par son maillon le plus faible. ‘De nombreux tunneling hosts sont apparus mal configurés et sécurisés. Il est donc à coup sûr conseillé aux entreprises de sécuriser correctement ces serveurs’, affirment les chercheurs. ‘C’est ainsi qu’un serveur peut par exemple être paramétré pour accepter uniquement les paquets provenant d’adresses IP familières. Cela élimine déjà pas mal de risques. Mais utiliser un protocole qui fournit l’authentification et le cryptage est encore plus sûr.’
