Recherche

Panocrim 2025 : les passerelles de sécurité, ces nids à vulnérabilités

Le Clusif a donné de l'écho aux constatations du CERT-FR quant à la fragilité des équipements de sécurité présents en bordure de réseau.

Publié par Clément Bohic le - mis à jour à
Lecture
3 min
  • Imprimer
Panocrim 2025 : les passerelles de sécurité, ces nids à vulnérabilités
© généré par IA

"L'année 2023 et le début de l'année 2024 ont été marqués par de nombreux incidents concernant des équipements de sécurité présents notamment en bordure de réseau."

En juin dernier, le CERT-FR avait publié un rapport s'ouvrant sur ce constat. Les incidents en question avaient pour origine l'exploitation de vulnérabilités critiques dans des pare-feu, VPN ou passerelles de filtrage au sens large, expliquait l'organisme rattaché à l'ANSSI. Et de lister quelques-unes des alertes qu'il avait émises sur la période, à propos de produits Barracuda, Check Point, Citrix/NetScaler, Fortinet, Ivanti et Palo Alto Networks.

Le Clusif en a repris quelques-unes dans le cadre de son Panocrim 2025. Notamment celles concernant Ivanti et Palo Alto. Chez l'un et l'autre, une combinaison de vulnérabilités permettait de contourner les politiques de sécurité, puis d'effectuer une élévation de privilèges sur les appliances compromises.

Les passerelles de sécurité sont d'autant plus ciblées que leurs éditeurs utilisent des architectures logicielles parfois obsolètes, observe le Clusif. Cela rejoint les commentaires du CERT-FR, qui déplore des "pratiques dépassées" telles que l'absence de compartimentalisation logique entre fonctions et l'exécution des fonctions d'administration avec un compte hautement privilégié. De nombreux équipements, considérés comme du matériel et non du logiciel, sont des boîtes noires, note-t-il par ailleurs : il n'existe pas de mécanismes pour un contrôle d'intégrité fiable.

Microsoft et Sophos, emblèmes d'un "changement de posture"

En 2024, il y eut aussi l'épisode Crowdstrike. Certes pas dû à une faille (le problème était lié une mise à jour défectueuse), mais dont les conséquences furent notables. Malgré la capacité de réaction de l'éditeur (livraison d'un correctif et d'une procédure en moins d'une heure et demie), les délais de rétablissement ont pu se compter en jours, si ce n'est en semaines.

En parallèle, certains éditeurs ont changé de posture, fait remarquer le Clusif. Parmi eux, Sophos, qui a lancé Pacific Rim. Cette "opération coordonnée de défense et de contre-attaque face à des groupes basés en Chine" a impliqué la pose d'implants dans ses produits. Du côté de Microsoft, on a mise en place une infrastructure de pots de miel sur Azure (fuite volontaire d'identifiants)... et annoncé la Secure Future Initiative, dans la lignée du rapport accablant des autorités américaines après l'affaire Midnight Blizzard. Ce groupe cybercriminel dit lié au renseignement extérieur russe était parvenu à s'infiltrer, en 2023, dans des boîtes Exchange critiques au sein de l'appareil politique américain.

Illustration

Livres Blancs #bigdata

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine
Se connecter
Retour haut de page