Format de rechange : Observations et stratégies d’atténuation liées aux activités menées par la République populaire de Chine ciblant les routeurs de périphérie (PDF, 705 Ko)
Avant-propos
Le présent bulletin de cybersécurité s'adresse aux gestionnaires ainsi qu'aux professionnelles et professionnels des ti œuvrant au sein du gouvernement et de tous les secteurs.
Date d'entrée en vigueur
La présente publication entre en vigueur le 15 avril 2025.
1 Contexte
Un bulletin de cybersécurité a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d'information électroniques. Elle vise également à leur fournir des conseils supplémentaires en matière d'atténuation. Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) est en mesure d'offrir aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur du présent bulletin.
Le Centre pour la cybersécurité a constaté une augmentation des activités menées par des auteurs de menace de la RPC, notamment des activités liées au groupe SALT TYPHOON, qui ciblent les routeurs de périphérie dans les secteurs des infrastructures essentielles. Le Centre pour la cybersécurité et ses partenaires ont récemment observé des compromissions répétées de dispositifs de routage non corrigés et mal configurés.
Le Centre pour la cybersécurité exhorte la communauté de la cybersécurité à prendre conscience des activités menées par des auteurs de menace ciblant les routeurs de périphérie et à mettre à profit les conseils formulés par le Centre pour la cybersécurité afin de protéger ses réseaux.
2 Dispositifs d'accès et de sécurité
Comme il est indiqué dans l'Évaluation des cybermenaces nationales 2025-2026Note de bas de page 10, les auteurs de menace exploitent les vulnérabilités touchant les dispositifs de routage qui se trouvent en périphérie des réseaux. Le Centre pour la cybersécurité insiste sur le fait qu'en compromettant un routeur de périphérie, un auteur de cybermenace peut s'introduire dans un réseau en vue de surveiller, de modifier et d'exfiltrer le trafic réseau circulant sur le dispositif ou, possiblement, s'introduire davantage dans le réseau de la victime.
Comme ils sont omniprésents sur Internet, les routeurs de périphérie sont facilement identifiables par les auteurs de menace. Ces derniers compromettent souvent les défenses du périmètre de réseau en exploitant les vulnérabilités connues dans les dispositifs d'accès. En règle générale, ces faiblesses en matière de sécurité sont déjà relevées et il existe déjà des correctifs pour les corriger. Toutefois, des intrusions se produisent si ces correctifs ne sont pas appliqués ou mis en œuvre uniformément et en temps opportun. Le Centre pour la cybersécurité vous recommande fortement de suivre les conseils formulés dans la publication Orientation sur la gestion des rustinesNote de bas de page 3 du gouvernement du Canada, et de passer en revue l'ensemble des références, des conseils et des manuels fournis avec l'équipement des dispositifs d'accès pour s'assurer que les organisations suivent les conseils du fabricant en matière de sécurité. En l'absence de conseils clairs, les organisations devraient communiquer avec leurs fournisseurs pour obtenir de l'assistance au besoin.
La publication Facteurs relatifs à la sécurité à considérer pour les dispositifs d'accèsNote de bas de page 2 du Centre pour la cybersécurité présente aussi des facteurs que votre organisation devrait prendre en compte lors de l'évaluation de la sécurité d'un dispositif d'accès :
- sa fabrication (responsabilité du fabricant);
- sa configuration (responsabilité partagée avec le fabricant et découlant des lignes directrices sur le renforcement de la sécurité du fournisseur et de l'organisation);
- la plus récente application des mises à jour de sécurité et des correctifs aux logiciels, au matériel et au système d'exploitation.
3 Moyens connus d'exploitation et de persistance
Vous trouverez ci-dessous des exemples de moyens connus d'exploitation des routeurs de périphérie employés par les auteurs de menace.
3.1 Services exposés à Internet
Les dispositifs qui exposent des services quelconques à Internet seront détectés facilement et rapidement par les auteurs de menace antagonistes dans le cadre de campagnes de balayage de masse et d'activités de reconnaissance plus ciblées. Les services sensibles ou administratifs, comme les protocoles de gestion, sont intéressent particulièrement les auteurs de menace qui cherchent à identifier et à exploiter les routeurs de périphérie.
3.2 Mauvaise configuration des dispositifs
Le Centre pour la cybersécurité a observé que l'exploitation de ces dispositifs découlait d'une cryptographie faible ou de la configuration des paramètres de sécurité au moyen des valeurs par défaut n'ayant fait l'objet d'aucune mise à jour. Il est important de passer en revue les conseils fournis par le fabricant sur le renforcement de la sécurité des routeurs de périphérie, ainsi que d'évaluer et de vérifier continuellement la conformité de ceux-ci, puisque les paramètres par défaut peuvent aussi comprendre des protocoles ou des ports non sécurisés permettant l'écoute d'interfaces non fiables. Même si un dispositif est installé et configuré de manière appropriée au début de son cycle de vie, la sécurité de ces configurations peut offrir une protection réduite au fil du temps en raison de facteurs externes. Advenant la compromission d'un routeur, la segmentation inadéquate du réseau et l'absence de listes de contrôle d'accès (LCA) peuvent permettre à un adversaire de se déplacer latéralement plus facilement dans le réseau.
3.3 Modification de fichiers de configuration
Des partenaires de confiance ont observé que les configurations des routeurs de périphérie compromis étaient souvent modifiées afin de permettre des déplacements latéraux facilités par des techniques et des mécanismes persistants. L'établissement des captures de trafic, la création de nouveaux comptes d'administrateur et la configuration du transfert de trafic en sont des exemples. Toute liste d'autorisation configurable doit également être examinée afin de veiller à ce qu'aucun ajout non autorisé n'ait été fait. Habituellement, ces modifications sont effectuées au moyen de capacités et de fonctions inhérentes.
3.4 Exfiltration de fichiers de configuration
Des partenaires de confiance ont observé que des fichiers de configuration provenant de dispositifs de routage en périphérie compromis au Canada avaient été exfiltrés hors de leurs réseaux par des auteurs de menace. En exfiltrant les fichiers de configuration, les auteurs de menace peuvent extraire davantage d'information sensible, effectuer des tests ou repérer de plus amples vulnérabilités pour leur permettre d'accéder aux dispositifs. Dans la mesure où les fichiers de configuration contiennent des justificatifs d'identité, en particulier ceux qui ne sont pas sécurisés par chiffrement, les auteurs de menace peuvent également employer des tactiques comme le cassage de mot de passe hors ligne pour obtenir l'accès aux dispositifs. Selon le rapport d'un partenaire de confiance, de nombreux fichiers de configuration qui ont été exfiltrés contenaient des mécanismes de hachage ou des types de mots de passe désuets, comme le type 4 et le type 7Note de bas de page 9.
3.5 Commandes non autorisées
Lorsqu'un routeur de périphérie est compromis, les auteurs de menace exécutent des commandes non autorisées pour accroître leur accès à l'hôte ou au réseau, ou renforcer leur persistance sur ceux-ci. Le fait de repérer l'utilisation suspecte ou malveillante de commandes non autorisées et fructueuses peut souvent être un bon point de départ aux chasses aux cybermenaces et à la conduite d'investigations informatiques. Voici quelques tactiques utilisées par les auteurs de menace :
- effacer les journaux et autres enregistrements;
- ajouter de nouveaux comptes contrôlés par les auteurs de menace sur le dispositif;
- effectuer des attaques par force brute et des ouvertures de session anormales;
- apporter des changements non approuvés aux fichiers de configuration.
Le Centre pour la cybersécurité a constaté que des auteurs de menace modifiaient les configurations des routeurs de périphérie. Il est important de vérifier régulièrement ces configurations et de détecter tout changement non autorisé. Soyez à l'affût des signes de trafiquage, comme des adresses IP que vous ne reconnaissez pas et des comptes nouvellement ajoutés, ainsi que de tout paramètre de capture de paquets inhabituel qui a pu être introduit.
3.6 Justificatifs d'identité faibles
Le Centre pour la cybersécurité a observé de nombreux cas où des dispositifs avaient été compromis en raison de l'utilisation de mots de passe par défaut et faciles à deviner.
- N'utilisez pas de mots de passe, de phrases de passe ou de numéros d'identification personnels (NIP) faciles à deviner (comme « mot de passe », « laisse-moi entrer » ou « 1234 »), même s'ils comprennent des caractères de remplacement (comme « mot de p@sse »).
- N'utilisez pas d'expressions courantes, de titres de chanson ou de film, ou de citations.
- N'utilisez pas d'information personnelle (comme votre date de naissance, votre ville natale ou le nom de votre animal).
- N'utilisez pas les mots de passe attribués par le fournisseur lors de l'installation ou de l'activation de nouveaux matériels ou logiciels.
- N'utilisez pas de mots de passe trouvés lors de violations de données connues.
- Ne réutilisez pas vos mots de passe parmi vos dispositifs ou d'un déploiement à l'autre.
4 Mesures d'atténuation
Le Centre pour la cybersécurité a publié des conseils destinés aux organisations. Il fournit également des conseils sur le renforcement de la posture de sécurité des dispositifs d'accès Notes de bas de page 1 Notes de bas de page 4 Notes de bas de page 5 Notes de bas de page 6 Notes de bas de page 7 Notes de bas de page 8.
- désactivez les services inutiles, particulièrement les services non sécurisés, comme Telnet, le protocole HTTP et les versions 1 et 2 du protocole de gestion de réseau simple (SNMP);
- désactivez toute fonction ou tout protocole de gestion du routeur non authentifié;
- assurez-vous que la version 3 du protocole SNMP est configurée de manière à faire appel au chiffrement et à l'authentification;
- limitez la gestion des dispositifs aux administratrices et administrateurs à l'intérieur des réseaux de gestion et évitez que les interfaces de gestion aient un accès direct à Internet;
- utilisez une authentification multifacteur (AMF) résistante à l'hameçonnage pour tous les accès administratifs en utilisant, de préférence, l'authentification faisant appel au protocole FIDO ou basée sur l'infrastructure à clé publique (ICP);
- ayez recours à des normes de chiffrement avancées sécurisées, comme la norme AES-256 et assurez-vous que la version 1.3 du protocole de sécurité de la couche transport (TLS) est utilisée avec des suites de chiffrement robustes afin de sécuriser les communications;
- utilisez des mots de passe robustes, et non ceux par défaut;
- appliquez l'authentification sécurisée aux protocoles et aux services qui sont en mesure de la prendre en charge;
- mettez à niveau les types de mots de passe et les mécanismes de hachage désuets;
- assurez-vous que les dispositifs exécutent les versions micrologicielles recommandées par le fournisseur;
- confirmez l'intégrité logicielle des images en utilisant la vérification des valeurs de hachage par rapport aux codes de hachage du fournisseur;
- mettez en œuvre une journalisation centralisée et sécurisée capable d'analyser de grands jeux de données;
- chiffrez le trafic des journaux pour éviter tout trafiquage, stockez les journaux hors site et intégrez-les aux outils de gestion des informations et des événements de sécurité (GIES) afin d'établir des corrélations avancées et de relever rapidement les incidents;
- établissez des bases de référence pour le comportement normal du réseau et utilisez les appliances de sécurité afin de recevoir des alertes en cas d'écarts;
- enquêtez sur toute modification apportée à la configuration des périphériques réseau en dehors du processus de gestion du changement.