L'Allemagne propose des directives de sécurité pour les routeurs

  • Sep 28, 2023

Le gouvernement allemand souhaite réglementer les types de routeurs vendus et installés dans tout le pays.

la version-du-firmware-du-routeur-netgear-s-r7500-peut-être-mise à jour-vers-1-0-0-92-483214-6.jpg

Le gouvernement allemand a publié au début du mois un premier projet de règles sur la sécurisation des routeurs des petits bureaux et des bureaux à domicile (SOHO).

Sécurité

  • 8 habitudes des travailleurs à distance hautement sécurisés
  • Comment trouver et supprimer les logiciels espions de votre téléphone
  • Les meilleurs services VPN: comment se comparent les 5 meilleurs?
  • Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite

Publiées par l'Office fédéral allemand pour la sécurité de l'information (BSI), les règles ont été élaborées avec la contribution des fournisseurs de routeurs, des télécommunications allemandes et de la communauté matérielle allemande.

Une fois approuvés, les fabricants de routeurs ne sont pas tenus de respecter ces exigences, mais s'ils le font, ils peuvent utiliser un autocollant spécial sur leurs produits indiquant leur conformité.

Aussi: Aide-mémoire: Comment devenir un pro de la cybersécurité TechRépublique

Le document de 22 pages, disponible en anglais ici, répertorie des dizaines de recommandations et de règles pour diverses fonctions et fonctionnalités du routeur. Nous ne pouvons peut-être pas énumérer toutes les règles pour cet article, car certaines sont très techniques, mais nous en avons sélectionné quelques-unes plus importantes :

  • Seuls les services DNS, HTTP, HTTPS, DHCP, DHCPv6 et ICMPv6 doivent être disponibles sur l'interface LAN et WiFi.
  • Si le routeur dispose d'un mode WiFi invité, ce mode ne doit pas permettre l'accès au panneau de configuration du routeur.
  • L'identificateur d'ensemble de services étendu (ESSID) ne doit pas contenir d'informations dérivées du routeur lui-même (telles que le nom du fournisseur ou le modèle du routeur).
  • Le routeur doit prendre en charge le protocole WPA2 et l'utiliser par défaut.
  • Les mots de passe WiFi doivent comporter 20 chiffres ou plus.
  • Les mots de passe WiFi ne doivent pas contenir d'informations dérivées du routeur lui-même (fournisseur, modèle, MAC, etc.).
  • Le routeur doit permettre à tout utilisateur authentifié de modifier ce mot de passe.
  • La procédure de modification du mot de passe WiFi ne doit pas afficher un indicateur de force du mot de passe ni forcer les utilisateurs à utiliser des caractères spéciaux.
  • Après la configuration, le routeur doit restreindre l'accès à l'interface WAN, à l'exception de quelques services, tels que (CWMP) TR-069, SIP, SIPS et ICMPv6.
  • Les routeurs doivent rendre CWMP disponible uniquement si le FAI contrôle la configuration du routeur à partir d'un emplacement central et distant.
  • Le mot de passe du panneau de configuration/d'administration du routeur doit comporter au moins 8 caractères et doit avoir un configuration complexe impliquant deux des éléments suivants: lettres majuscules, lettres minuscules, caractères spéciaux, Nombres.
  • Tout comme les mots de passe WiFi, les mots de passe du panneau d'administration ne doivent pas contenir d'informations relatives au routeur (fournisseur, modèle, MAC, etc.).
  • Le routeur doit permettre à l'utilisateur de modifier ce mot de passe par défaut du panneau d'administration.
  • L'authentification par mot de passe DOIT être protégée contre les attaques par force brute.
  • Les routeurs ne doivent pas être livrés avec des comptes sans papiers (porte dérobée).
  • Dans son état par défaut, l'accès au panneau d'administration doit être autorisé uniquement via les interfaces LAN ou WiFi.
  • Si le fournisseur du routeur souhaite exposer le panneau d'administration via WAN, il doit utiliser TLS.
  • L'utilisateur final doit être en mesure de configurer le port à utiliser pour accéder à la configuration via l'interface WAN.
  • Le panneau d'administration du routeur doit afficher la version du micrologiciel.
  • Le routeur informe les utilisateurs d'un micrologiciel obsolète ou en fin de vie.
  • Le routeur doit conserver et afficher un journal de dernière connexion.
  • Le routeur doit afficher l'état et les règles de tout service de pare-feu local.
  • Le routeur doit répertorier tous les services actifs pour chaque interface (LAN/WAN/WiFi).
  • Les routeurs doivent inclure un moyen d'effectuer des réinitialisations d'usine.
  • Les routeurs doivent prendre en charge DHCP sur LAN et WiFi.

Ce ne sont là que quelques-unes des recommandations du BSI, et vous en trouverez davantage dans le document lié ci-dessus.

La raison pour laquelle l'Allemagne prend des mesures pour normaliser la sécurité des routeurs a quelque chose à voir avec un incident qui a eu lieu fin 2016 lorsqu'un pirate informatique britannique connu sous le nom de « BestBuy » a tenté de pirater les routeurs de Deutsche Telekom, mais a raté une mise à jour du micrologiciel et a fait planter près d'un million de routeurs à travers l'Allemagne.

Les efforts du BSI pour réglementer les routeurs SOHO n'ont pas plu à toutes les parties concernées. Dans un article de blog La semaine dernière, le Chaos Computer Club (CCC), une communauté bien connue de hackers allemands, a critiqué la première ébauche de ces recommandations, les qualifiant de « farce ».

CCC a déclaré avoir assisté aux réunions du BSI sur ce sujet avec des membres d'OpenWrt, un projet logiciel qui fournit firmware open source pour les routeurs SOHO, et ils affirment que les groupes de pression des télécommunications ont déployé des efforts considérables pour saboter les règles dans son ensemble.

Les deux groupes ont soulevé deux questions qui, selon eux, n'étaient pas incluses dans les recommandations du BSI, règles qui étaient d'une importance cruciale.

Aussi: Les meilleures caméras de reconnaissance faciale que vous pouvez acheter aujourd'hui CNET

L'une d'elles était que tous les routeurs devaient être dotés d'une date d'expiration pour le micrologiciel qui devait être visible par les utilisateurs avant d'acheter l'appareil. Deuxièmement, une fois que le fournisseur cesse de prendre en charge le micrologiciel d'un modèle, il doit permettre aux utilisateurs d'installer un micrologiciel personnalisé sur les appareils abandonnés et EOL.

Les discussions sur les règles du BSI devraient se poursuivre. En octobre, l'État de Californie a adopté une législation qui établit un ensemble de règles strictes pour mots de passe utilisés par les appareils connectés à Internet (IoT), ce qui en fait la première réglementation spécifique à l'IoT en le monde. Même si l'Allemagne n'adopte pas de lois officielles, elle deviendra le premier pays à tenter d'adopter des directives spécifiques aux routeurs.

Couverture de sécurité associée :

  • Le nouveau crypto-mineur Linux vole votre mot de passe root et désactive votre antivirus
  • Le botnet IoT infecte 100 000 routeurs pour envoyer du spam à Hotmail, Outlook et Yahoo
  • Les attaques DDoS avancées ont augmenté de 16 % par rapport à l'année dernièreTechRépublique
  • Un nouveau botnet DDoS s'en prend aux serveurs d'entreprise Hadoop
  • L'auteur du botnet Satori de nouveau en prison après avoir enfreint les conditions de sa libération provisoire
  • Ce botnet VPNFilter que le FBI voulait que nous aidions à tuer? C'est toujours vivantCNET
  • Cisco Zero Day exploité dans la nature pour planter et recharger des appareils
  • Deux botnets se battent pour le contrôle de milliers d'appareils Android non sécurisés