Aucun pays n’a jusqu’à présent pris la peine de réglementer quelque chose d’aussi fondamental que les routeurs, qui devraient être commercialisés sur la base de certaines règles de sécurité. « Non seulement les appareils sont attaqués pour endommager les biens de leur propriétaire, mais aussi pour être détournés et faire partie d’un réseau de botnets ‘botnets’ ;, contrôlé par les attaquants », assure l’Office fédéral allemand pour la sécurité de l’information dans le document qu’il a élaboré avec les règles de sécurité que les routeurs devant être installés dans les bureaux et les maisons doivent rassembler.
Des règles sur les routeurs
Pour l’instant, il s’agit simplement d’une proposition qui, si elle est approuvée, liera les fabricants, qui devront appliquer une série de protocoles de sécurité techniquement très stricts. Telles sont les principales conclusions, comme indiqué dans « ZDNet » :
- – Seuls les services DNS, HTTP, HTTPS, DHCP, DHCPv6 et ICMPv6 devraient être disponibles dans l’interface LAN et wifi.
- – Si le routeur a un mode wifi invité, il ne devrait pas autoriser l’accès au panneau de configuration.
- – L’Extended Service Set Identifier (ESSID) ne doit pas contenir d’informations dérivées du périphérique (telles que le nom ou le modèle du fournisseur).
- – Le routeur doit supporter le protocole WPA2 et l’utiliser par défaut.
- – Les mots de passe Wifi doivent avoir 20 chiffres ou plus.
- – Les clés Wifi ne doivent pas contenir d’informations dérivées du routeur (fournisseur, modèle, MAC, etc.).
- – Vous devez permettre à tout utilisateur authentifié de modifier ce mot de passe.
- – La procédure pour modifier la clé wifi ne doit pas afficher un compteur de force de mot de passe ou forcer les utilisateurs à utiliser des caractères spéciaux.
- – Après la configuration, le routeur doit restreindre l’accès à l’interface WAN, à l’exception de certains services, tels que (CWMP) TR-069, SIP, SIPS et ICMPv6.
- – Le périphérique doit rendre CWMP disponible uniquement si le FAI contrôle la configuration du routeur depuis un emplacement central et distant.
- – Le mot de passe pour la configuration du panneau de routeur/administration doit comporter au moins 8 caractères et doit avoir une configuration complexe comprenant deux des options suivantes : lettres majuscules, lettres minuscules, caractères spéciaux, chiffres.
- – Comme les mots de passe wifi, les clés du panneau d’administration ne doivent contenir aucune information relative au périphérique (fournisseur, modèle, MAC, etc.).
- – Vous devez autoriser l’utilisateur à modifier ce mot de passe par défaut.
- – L’authentification par mot de passe doit être protégée des attaques brutes-force.
- – Impossible d’avoir des utilisateurs agissant comme portes dérobées.
- – Dans son état par défaut, l’accès au panneau d’administration ne devrait être autorisé que via des interfaces LAN ou wifi.
- – Si le fournisseur souhaite exposer le panneau d’administration via WAN, il doit utiliser TLS.
- – L’utilisateur final doit pouvoir configurer le port qui sera utilisé pour accéder à la configuration via l’interface WAN.
- – Le panneau d’administration du routeur doit afficher la version du firmware.
- – Il doit maintenir et afficher un dernier enregistrement de connexion. Aussi l’état et les règles de tout service de pare-feu local.
- – Le routeur doit lister tous les services actifs pour chaque interface (LAN / WAN / WiFi).
- – doit inclure un moyen d’effectuer des réinitialisations d’usine.
- – Les routeurs doivent être compatibles DHCP via LAN et WiFi.
La raison pour laquelle l’Allemagne prend des mesures pour normaliser la sécurité des routeurs est liée à la cyberattaque qui a fait tomber 900.000 routeurs Deutsche Telekom en 2016.
Pour l’instant, les conversations continueront à établir de telles règles. En octobre, l’État de Californie a adopté une loi d’État établissant une norme pour les mots de passe utilisés sur les dispositifs connectés à Internet (IoT), devenant ainsi le premier règlement spécifique au monde sur les IoT. Bien que l’Allemagne ne promulgue pas de lois officielles pour le moment, elle deviendrait le premier pays à tenter de faire passer un guide de routeur spécifique.
