Piratage de la chaîne d’approvisionnement et rôle du matériel dans la sécurité

Au cours des dernières années, nous avons vu des entreprises se précipiter pour sécuriser la portée croissante des déploiements cloud et logiciels. Et à juste titre, car une étude récente de F5 Labs montre que les applications sont les cibles initiales de plus de la moitié des violations signalées. Mais alors que les entreprises s'empressent de consolider ce côté de l'activité, elles doivent rester vigilantes et garder un œil attentif sur ce qui se passe également du côté de l'infrastructure et du matériel.

L’ article récent de Bloomberg n’est pas la première affirmation à propos de ce que l’on appelle désormais un piratage de la chaîne d’approvisionnement. Des rapports faisant état de tiers interceptant des équipements réseau dans la chaîne d’approvisionnement dans le but de falsifier, d’espionner ou de compromettre d’une autre manière les données circulent de manière notable sur Internet depuis au moins cinq ans.

En effet, la menace de falsification ne se limite pas à la chaîne d’approvisionnement du matériel. C’est une manière assez simple de se lancer dans le processus, mais ce n’est pas le seul point d’entrée. Pour être clair, il n’existe aujourd’hui aucune partie d’un système (du matériel au micrologiciel, en passant par le système d’exploitation et les logiciels) qui ne soit pas soumise à une forme ou une autre de menace. Les compromissions des systèmes d’exploitation et des logiciels sont constatées chaque jour dans des articles décrivant des logiciels malveillants et des vulnérabilités exploitées. Des menaces persistantes ont été transmises via des rootkits du BIOS (firmware). Et l’utilisation croissante de sous-systèmes fabriqués par des tiers au cours de la dernière décennie donne du crédit à la faisabilité d’un piratage de la chaîne d’approvisionnement ayant un impact sur le matériel au niveau de la carte. 

Oui, c'est possible. Oui, une attaque de la chaîne d’approvisionnement serait difficile à détecter. Et oui, tant que le matériel joue un rôle dans la fourniture d’applications dans les centres de données et les environnements cloud (lire : dans un avenir prévisible), c’est quelque chose à laquelle les organisations doivent réfléchir, que des fournisseurs spécifiques s’appuient ou non sur leur propre matériel ou sur celui de quelqu’un d’autre.

Les systèmes sécurisés doivent prendre en compte le matériel

Les attaques basées sur le matériel et le micrologiciel présentent un risque unique par rapport aux autres types d’attaques, ce qui explique en partie le profond niveau de préoccupation des organisations sur le sujet.

Les attaques basées sur le matériel et les micrologiciels sont attrayantes pour les acteurs malveillants pour les raisons suivantes :

1. Faible détectabilité . Le micrologiciel fonctionne en arrière-plan et n’est souvent pas visible pour le logiciel. Les systèmes modernes découragent l’accès même au micrologiciel du BIOS, car des modifications inappropriées peuvent rendre un système inutilisable.
2. Haute persistance . Une fois établi, il est difficile de débarrasser une plateforme infectée du malware. Bien que les systèmes d’exploitation puissent être réinstallés relativement facilement, restaurer le micrologiciel à son état d’origine est une tâche beaucoup plus difficile.
3. Haut privilège . Tout code exécuté dans le matériel ou le micrologiciel dispose d'un accès direct au niveau du matériel. Les logiciels malveillants dotés de ce niveau de privilèges peuvent espionner et même contrôler l’ensemble du système.

Si l’on additionne tout cela, on constate que les entreprises qui gardent le contrôle de leur propre matériel présentent des avantages tangibles. Par exemple, F5 supervise chaque étape, de la conception au prototypage, en passant par la fabrication et enfin la production, pour garantir l’intégrité de nos systèmes. Sans ce niveau de contrôle, les fournisseurs peuvent offrir une assurance relativement limitée que le matériel prenant en charge leurs systèmes est protégé.

Le défi de sécuriser ce que vous ne contrôlez pas

À ce stade, je mentionnerai que F5 n'entretient pas de relation de fabrication avec Super Micro ou tout autre OEM de carte mère de serveur. (Pour plus de détails, veuillez vous référer à l' article de la base de connaissances AskF5 lié aux actualités récentes du secteur.) Ce moment offre cependant une bonne occasion de renforcer l’importance des entreprises capables d’employer un ensemble rigide de processus pour se protéger contre toute altération de leur matériel, de leurs micrologiciels et de leurs logiciels à tout moment pendant le développement, la fabrication et l’assemblage. Après tout, si vous devez compter sur du matériel à un moment donné, n'est-il pas plus logique de faire appel à un fournisseur possédant une expertise en la matière ?

Même si vous trouverez sans aucun doute des fournisseurs qui sont tout à fait disposés à faire des éléments matériels de sécurité « le problème de quelqu’un d’autre », cette approche est souvent incomplète. Si vous avez besoin de garanties concernant le matériel qui prend en charge votre infrastructure, vous souhaitez un fournisseur qui ne va pas jouer le rôle de patate chaude avec la responsabilité ultime de protéger vos actifs. Ainsi, dans le reste de cet article, nous expliquerons ce que fait F5 pour atténuer ce risque pour ses clients, puis identifierons certaines questions que vous pouvez poser aux fournisseurs pour vous assurer qu’ils limitent de manière responsable votre exposition. Mais voici la version tl;dr : Si vous ne savez pas comment ni où votre matériel d’infrastructure est conçu, fabriqué, testé et assemblé, vous avez peut-être des raisons de vous inquiéter. Avec F5, en revanche, le processus ne nous échappe jamais.

Ce que F5 apporte à la table : Le côté compliqué

Le siège social de F5 se trouve à Seattle et la conception et le développement de notre matériel ont lieu dans les locaux de l'entreprise à l'est de Seattle, à Spokane. Cette équipe supervise tous les aspects du développement du matériel F5. Né d'une volonté de développer du matériel spécifiquement pour alimenter notre plateforme ADC, BIG-IP, cela nous permet d'intégrer une attention fanatique (dans le bon sens !) à la sécurité de notre matériel.

Il est utile de s'arrêter ici pour un aperçu (très) rapide de la manière dont le matériel est conçu et développé. La conception préliminaire est réalisée dans un logiciel de CAO, à partir duquel une image vectorielle de la carte est générée. Il s'agit d'un fichier Gerber , basé sur le format standard de facto de l'industrie pour ces images. À partir de ce fichier, un circuit imprimé (PCB) est fabriqué. Le PCB n'est que la carte de base : les traces de circuit et les brochages. L’étape suivante consiste à fabriquer un assemblage de circuit imprimé (PCA), qui ajoute les composants réels (CPU, mémoire, circuits intégrés, transistors, etc.) au PCB.

Les processus de F5 incluent également des tests post-fabrication pour aider à se protéger contre un piratage de la chaîne d’approvisionnement par des fournisseurs tiers. Nous utilisons une combinaison d'inspection AOI (inspection optique automatisée) ainsi que d'inspection 5DX ou AXI (rayons X). Chacun d’entre eux est conçu pour détecter une variété de problèmes qui ont un impact sur la qualité et l’intégrité du système, y compris l’identification de tout élément qui ne fait pas partie de la conception du produit.

L'inspection AOI et l'inspection aux rayons X sont des processus automatisés qui commencent par des fichiers Gerber qui décrivent en détail à quoi devrait ressembler la carte une fois fabriquée. Les ingénieurs de fabrication F5 supervisent la configuration et la mise en œuvre de ces sous-systèmes de test depuis le premier PCA (Printed Circuit Assembly), et ils sont constamment affinés. Cela nous permet de comparer et de vérifier le produit final pour nous assurer qu’il correspond à nos attentes.

Au-delà de ces mesures de protection, pour mieux nous protéger contre la menace de manipulation non autorisée de micrologiciels et de logiciels, nous intégrons deux capacités principales dans notre matériel : la détection et la prévention des falsifications. La première est rendue possible par l’inclusion d’un TPM (Trusted Platform Module). TPM — ISO/IEC 11889 — est un microcontrôleur dédié qui permet la vérification de l’intégrité du système à l’aide de la cryptographie. La deuxième capacité consiste à signer de manière cryptographique les mises à jour ultérieures du micrologiciel et à les valider avant l'installation, comme cela peut être fait avec les mises à jour du logiciel F5.

Je voudrais également souligner le fait que l’organisation informatique de F5 possède et contrôle l’accès à tout le matériel et au réseau de nos sous-systèmes de test.

Questions à poser à votre fournisseur

Lorsqu’il s’agit de composants critiques de votre réseau et de votre sécurité, la confiance et une communication ouverte doivent toujours être dans l’équation. Bien qu’il y ait certainement un débat en cours autour des faits présentés dans le rapport de Super Micro, le type de menace qu’il met en évidence est bien réel et très crédible. Concernant le potentiel d’attaques matérielles et logicielles provenant de n’importe quelle source (chaîne d’approvisionnement ou autre), voici quelques bonnes questions à poser à votre fournisseur :

1. Utilisez-vous des cartes mères développées par des tiers dans la conception de vos systèmes ?
2. Quelle partie du processus de conception et de développement du matériel contrôlez-vous, le cas échéant ?
3. Quel niveau de tests de sécurité effectuez-vous sur le matériel et quand ?
4. Quelles mesures de protection utilisez-vous pour sécuriser les mises à jour du micrologiciel et des logiciels ?
5. Enfin, quelles mesures de protection avez-vous mises en place pour prévenir et détecter toute altération, quelle qu’en soit la source, tout au long de la chaîne d’approvisionnement ?

____

Pour plus d'informations sur la manière dont F5 peut améliorer la sécurité des applications de votre organisation, veuillez consulter : https://www.f5.com/solutions/application-security