L’équipe de sécurité hardware de F-Secure Consulting a enquêté sur deux versions contrefaites des commutateurs Cisco Catalyst 2960-X Series. Ces contrefaçons ont été découvertes par une société informatique après une mise à jour du logiciel qui a empêché ces appareils de fonctionner. Il s’agit d’un phénomène courant : il est fréquent que des équipements contrefaits/modifiés cessent de fonctionner après une mise à jour. À la demande de l’entreprise, F-Secure Consulting a effectué une analyse approfondie de ces contrefaçons afin d’évaluer les implications en matière de sécurité.

D’après les chercheurs, ces contrefaçons ne possèdent pas de fonctionnalités de type « backdoor ». Néanmoins, ces appareils emploient diverses mesures pour tromper les contrôles de sécurité. Il semble, par exemple, que l’un d’eux exploite une vulnérabilité 0-day permettant de tromper les processus de démarrage, pour que le firmware falsifié ne soit pas détecté.

« Nous avons découvert que ces contrefaçons pouvaient contourner les contrôles d’authentification, mais nous n’avons pas trouvé d’indice suggérant que ces appareils présentaient d’autres risques », a déclaré Dmitry Janushkevich, consultant senior de l’équipe Hardware Security de F-Secure Consulting et auteur principal du rapport. « Les motivations des faussaires se limitaient probablement à gagner de l’argent en vendant ces composants. Mais d’autres individus malveillants utilisent ce même type d’approche pour installer des backdoors au sein des entreprises. Voilà pourquoi il est important de contrôler minutieusement tous les équipements potentiellement contrefaits. »

Ces contrefaçons étaient similaires à des commutateurs Cisco authentiques, tant du point de vue physique qu’opérationnel. L’une des unités contrefaites était particulièrement fidèle à l’original : soit les contrefacteurs ont investi massivement dans la reproduction de la conception originale, soit ils ont eu accès à une documentation technique exclusive leur permettant de créer une copie convaincante.

Selon Andrea Barisani, responsable de l’équipe Hardware Security chez F-Secure Consulting, des contrefaçons aussi sophistiquées posent de nombreuses questions en matière de sécurité pour les entreprises.

« Les services de sécurité ne peuvent se permettre d’ignorer les équipements altérés ou modifiés. Ils doivent enquêter sur toutes les contrefaçons que l’entreprise a pu utiliser malgré elle », explique Andrea Barisani. « Les entreprises doivent démonter ces appareils contrefaits et les examiner de fond en comble. Sans cela, elles ne peuvent en évaluer l’incidence sur leur sécurité. Dans certains cas, l’impact peut être tel qu’il peut saper complètement les mesures de sécurité destinées à protéger les processus et l’infrastructure de l’entreprise ».

Pour aider les entreprises à se prémunir contre l’utilisation de composants contrefaits, F-Secure émet les recommandations suivantes :
Se procurer tous les composants auprès de revendeurs autorisés
Disposer de processus internes bien définis régissant les modalités d’acquisition du matériel
S’assurer que tous les composants fonctionnent avec les derniers logiciels disponibles fournis par les fournisseurs
Noter les différences physiques entre les différentes unités d’un même produit, aussi subtiles soient-elles
« Nous sommes en première ligne en matière d’implémentation et de test des systèmes de démarrage sécurisé. Ces systèmes participent à la protection de la propriété intellectuelle. Ils sont garants de l’authenticité des équipements matériels et des firmwares. Notre analyse détaillée met en lumière les enjeux de sécurité liés aux contrefaçons. Elle montre aussi comment nous pouvons accompagner les entreprises qui identifient des dispositifs suspects au sein de leur infrastructure », conclut Andrea Barisani.