Sécurité : Le gouvernement allemand aimerait réglementer les types de routeurs vendus et installés dans le pays.

Le gouvernement allemand a publié au début du mois un premier projet de règles sur la sécurisation des routeurs Small Office et Home Office (SOHO).





publicité

Publiées par l'Office fédéral allemand de la sécurité de l'information (BSI), les règles ont été élaborées avec la participation des fournisseurs de routeurs, des opérateurs télécoms allemands et de la communauté hardware allemande.

Une fois le document approuvé, les fabricants de routeurs devront se conformer à ces nouvelles règles s'ils souhaitent vendre des routeurs à l'intérieur des frontières allemandes.

Le document de 22 pages, disponible en anglais ici, répertorie des dizaines de recommandations et de règles pour diverses fonctions et fonctionnalités du routeur. Nous ne pouvons pas énumérer toutes les règles au sein de cet article, certaines sont vraiment techniques, mais nous en avons sélectionné quelques unes :

Seuls les services DNS, HTTP, HTTPS, DHCP, DHCPv6 et ICMPv6 doivent être disponibles sur les interfaces LAN et WiFi.



Si le routeur dispose d'un mode WiFi invité, ce mode ne doit pas autoriser l'accès au panneau de configuration du routeur.



L'identifiant ESSID (Extended Service Set Identifier) ​​ne doit pas contenir d'informations dérivées du routeur lui-même (telles que le nom du fournisseur ou le modèle de routeur).



Le routeur doit prendre en charge le protocole WPA2 et l’utiliser par défaut.



Les mots de passe WiFi doivent avoir une longueur de 20 chiffres ou plus. Les mots de passe WiFi ne doivent pas contenir d'informations dérivées du routeur lui-même (fournisseur, modèle, MAC, etc.).



Le routeur doit autoriser tout utilisateur authentifié à modifier ce mot de passe.



La procédure de modification du mot de passe WiFi ne doit pas afficher un indicateur de force de mot de passe ou obliger les utilisateurs à utiliser des caractères spéciaux.



Une fois la configuration terminée, le routeur doit restreindre l'accès à l'interface WAN, à l'exception de quelques services, tels que TR-069 (CWMP), SIP, SIPS et ICMPv6.



Les routeurs doivent rendre CWMP disponible uniquement si le fournisseur de services Internet contrôle la configuration du routeur à partir d'un emplacement central distant.



Le mot de passe du panneau de configuration / d'administration du routeur doit comporter au moins 8 caractères et une configuration complexe comprenant deux des éléments suivants: lettres majuscules, lettres minuscules, caractères spéciaux et chiffres.



Tout comme les mots de passe WiFi, les mots de passe du panneau d'administration ne doivent pas contenir d'informations relatives au routeur (fournisseur, modèle, MAC, etc.).



Le routeur doit permettre à l'utilisateur de modifier ce mot de passe par défaut du panneau d'administration.



L'authentification par mot de passe DOIT être protégée contre les attaques par force brute.



Les routeurs ne doivent pas être livrés avec des comptes non documentés (porte dérobée).



Par défaut, l'accès au panneau d'administration ne doit être autorisé que via les interfaces LAN ou WiFi.



Si le fournisseur du routeur souhaite exposer le panneau d'administration via un réseau WAN, il doit utiliser TLS.



L'utilisateur final doit pouvoir configurer le port à utiliser pour accéder à la configuration via l'interface WAN.



Le panneau d'administration du routeur doit afficher la version du micrologiciel.



Le routeur doit indiquer aux utilisateurs un micrologiciel obsolète ou en fin de vie.



Le routeur doit conserver et afficher un dernier journal de connexion.



Le routeur doit afficher l'état et les règles de tout service de pare-feu local.



Le routeur doit répertorier tous les services actifs pour chaque interface (LAN / WAN / WiFi).



Les routeurs doivent inclure un moyen d'effectuer les réinitialisations d'usine.



Les routeurs doivent prendre en charge DHCP sur LAN et WiFi.

Ce ne sont que quelques-unes des recommandations enoncées par le BSI. D’autres sont repertoriées dans le document lié ci-dessus.

Si l'Allemagne prend des mesures pour normaliser la sécurité des routeurs, c’est en lien avec un incident survenu fin 2016. Un pirate informatique britannique connu sous le nom de "BestBuy" avait tenté de détourner des routeurs de Deutsche Telekom, mais a par erreur bloqué une mise à jour de firmware et a fini par bloquer un million de routeurs en Allemagne.

Les efforts de la BSI pour réglementer les routeurs SOHO n'ont pas plu à toutes les parties impliquées. Dans un article de blog la semaine dernière, le Chaos Computer Club (CCC), une communauté bien connue de pirates informatiques allemands, a critiqué le premier projet de ces recommandations, les qualifiant de "farce".

La CCC a indiqué qu'elle avait assisté aux réunions de la BSI sur ce sujet avec les membres d'OpenWrt, un projet de logiciel fournissant un micrologiciel à code source ouvert pour les routeurs SOHO. Selon eux, les groupes de lobby des télécoms ont fait des efforts considérables pour saboter les règles dans leur ensemble.

Les deux groupes ont soulevé deux problèmes qui, selon eux, ne figuraient pas dans les recommandations de la BSI, malgré leur importance cruciale.

L'une d'elles était que tous les routeurs devaient être accompagnés d'une date d'expiration du micrologiciel visible pour les utilisateurs avant l'achat du périphérique. Deuxièmement, une fois que le fournisseur a cessé de prendre en charge le micrologiciel d'un modèle, les fournisseurs doivent autoriser les utilisateurs à installer un micrologiciel personnalisé sur des périphériques abandonnés ou en fin de vie.

Les discussions sur les règles BSI devraient se poursuivre. En octobre, l'État de Californie a adopté une législation établissant un ensemble de règles strictes pour les mots de passe utilisés par les appareils connectés à Internet (IoT), ce qui en fait la première réglementation au monde spécifique à l'IoT. Bien que l’Allemagne n’adopte pas de lois officielles, elle deviendra le premier pays à essayer d’adopter des directives spécifiques à la sécurité des routeurs.

Cet article est une traduction de "Germany proposes router security guidelines" initialement publié sur ZDNet.com

