Enquête sur le déploiement et les caractéristiques de la boîte à outils dans les systèmes autonomes néerlandais

L'internet est composé d'innombrables réseaux interconnectés qui travaillent ensemble pour acheminer, gérer et distribuer le trafic dans le monde entier. Mais toutes les parties de son infrastructure ne sont pas visibles pour les utilisateurs.

L'une de ces parties cachées est constituée par les "boîtes intermédiaires", des dispositifs de réseau tels que les pare-feu, les IDS/IPS et les proxies qui se trouvent entre les points d'extrémité. Ces dispositifs jouent un rôle important en renforçant la sécurité, en améliorant les performances et en aidant les opérateurs à gérer leurs réseaux à grande échelle.

Cependant, elles peuvent également modifier le trafic d'une manière à laquelle les utilisateurs, et même les développeurs, ne s'attendent pas. Cette main invisible des boîtes intermédiaires peut compliquer le dépannage et la mise à jour des protocoles, soulever des questions sur la surveillance et la souveraineté numérique et, en fin de compte, compromettre les efforts déployés pour maintenir l'internet ouvert, fiable et sûr.

Récemment, mes collègues et moi-même avons mené une campagne de mesure active sur 989 systèmes autonomes néerlandais (ou AS) et environ 5,1 millions d'adresses IP afin de valider la manière dont les boîtes intermédiaires affectent l'intégrité de l'infrastructure et la transparence globale.

Après avoir validé nos résultats, nous avons identifié 310 boîtes intermédiaires enregistrées auprès d'AS néerlandais et physiquement situées aux Pays-Bas.

Nous avons également découvert une nuance juridictionnelle importante : 286 boîtes intermédiaires candidates liées à des AS néerlandais semblaient être situées en dehors des Pays-Bas, dans 34 pays. Les cinq premiers étaient les États-Unis (35,7 %), le Japon (8 %), la Grande-Bretagne (7,9 %), l'Italie (5,9 %) et l'Australie (5,9 %).

Les trajets Traceroute ont confirmé ces résultats de géolocalisation, montrant souvent des sorties précoces des réseaux néerlandais, des nombres de sauts plus élevés et un transit par des transporteurs régionaux ou internationaux. En d'autres termes, "néerlandais" sur le papier ne signifie pas toujours "aux Pays-Bas" dans la pratique.

Pour voir comment les middleboxes sont déployées dans la pratique, nous avons regroupé les AS en quatre grandes catégories (tableau 1).

En analysant ces catégories, nous avons constaté que la manière dont elles utilisent les boîtes intermédiaires dépend de l'objectif du réseau et de son public. Par exemple :

• L'infrastructure numérique est le plus grand utilisateur de middleboxes (environ 88 %), ce qui est logique car ces réseaux transportent du trafic pour beaucoup d'autres et fonctionnent à grande échelle. Dans cette catégorie, nous avons observé des différences dans les stratégies de déploiement. Chez les fournisseurs d'accès à Internet (FAI), les middleboxes sont généralement placées à proximité de l'interface client et sont axées sur la sécurité du périmètre et le traitement du trafic. En revanche, les fournisseurs d'hébergement semblent utiliser les middleboxes avec des fonctionnalités variées, principalement en tant qu'outils opérationnels pour gérer de grands volumes de connexions et maintenir la stabilité des services en cas de charge. Les points d'échange Internet (IXP) ont montré le moins d'interférence globale, ce qui est cohérent avec leur rôle de lieux d'interconnexion neutres.
• Les réseaux gouvernementaux et éducatifs sont plus petits mais distincts. Les AS gouvernementaux ont montré des modifications étroites et cohérentes qui s'alignent sur l'application de la politique. Dans les réseaux d'éducation et de recherche, nous avons identifié un petit ensemble de middleboxes présentant des schémas d'interférence du trafic et un placement différents des autres catégories. Nous avons également détecté quelques boîtes intermédiaires dans des réseaux de recherche plus petits qui présentaient un traitement du trafic ancien susceptible d'affecter les performances des connexions.
• Les réseaux du secteur privé mélangent les approches. Les réseaux commerciaux combinent les approches ; certains déploiements ressemblent à une sécurité périmétrique classique, tandis que d'autres s'apparentent à des ajustements du traitement du trafic destinés à améliorer les performances ou à faire respecter les préférences opérationnelles locales. Dans le secteur privé, l'élément clé est la variabilité du déploiement. Étant donné que les déploiements de middlebox sont divers et souvent adaptés aux besoins locaux, une documentation et une gouvernance solides sont particulièrement importantes pour la responsabilité, le dépannage et la réponse aux incidents.

Pour mieux comprendre la nature des boîtes intermédiaires détectées et leur exposition potentielle, nous avons enrichi nos mesures avec des données Censys et Shodan sur les ports ouverts, les services et les empreintes digitales des fournisseurs. La couverture était partielle ; de nombreux appareils n'avaient pas de liste utilisable, de sorte que les résultats doivent être considérés comme un instantané initial plutôt que comme un inventaire complet.

Nous avons souvent trouvé des services d'administration orientés vers l'internet (en particulier des interfaces de gestion web) et, dans certains cas, des protocoles de gestion à distance qui peuvent accroître les risques s'ils sont mal configurés ou non sécurisés. En outre, l'attribution des fournisseurs indique une concentration parmi un petit nombre de fournisseurs majeurs (tableau 2), dont beaucoup sont basés aux États-Unis, ce qui a des implications en termes de dépendance et de souveraineté numérique.

Nous avons également trouvé des signes de logiciels et de protocoles anciens, ainsi que des expositions occasionnelles à des risques plus élevés (tels que des services VPN ou de synchronisation temporelle obsolètes), ce qui indique des lacunes en matière de correctifs ou une dépendance à l'égard d'une infrastructure plus ancienne.

Dans l'ensemble, la combinaison de mesures actives et d'ensembles de données externes permet de rendre les middleboxes visibles dans le cadre d'une vue de la surface d'attaque exploitable pour l'inventaire, le renforcement et la surveillance.

Pour les opérateurs de réseaux :

1. Inventoriez et traitez les boîtes intermédiaires comme des infrastructures critiques : tenez un registre précis des actifs (y compris les appareils virtuels partageant des IP), documentez le comportement prévu en matière de traitement du trafic et vérifiez régulièrement les configurations et l'emplacement à la périphérie du réseau.
2. Réduisez l'exposition et renforcez les surfaces de gestion : supprimez ou limitez les services d'administration orientés vers l'internet (consoles web, SSH, SNMP), appliquez une authentification forte et des contrôles d'accès, et suivez les niveaux de correctifs et l'état de fin de vie pour éviter d'utiliser des logiciels obsolètes ou non pris en charge.
3. Détecter et décourager la reconnaissance ciblée : utiliser un balayage périodique et ciblé pour valider ce qui est accessible à partir d'Internet.

Pour les décideurs politiques et les régulateurs :

1. Améliorer la transparence et la responsabilité aux points névralgiques : encourager ou exiger une documentation claire des dispositifs/fonctions perturbant le trafic et de leurs lieux de déploiement, en particulier dans le secteur public et les réseaux d'infrastructures numériques critiques.
2. Renforcer l'assurance de base pour l'approvisionnement et l'exploitation : définir des attentes en matière de configuration sécurisée, de gestion des vulnérabilités et de planification de la fin de vie des dispositifs de sécurité et des systèmes adjacents exposés aux points d'entrée.
3. Tenir compte des dépendances juridictionnelles et de la chaîne d'approvisionnement : intégrer la concentration des fournisseurs et les réalités du déploiement transfrontalier dans les cadres de résilience et de surveillance afin que la responsabilité juridique, le contrôle de gestion et les obligations en matière de sécurité restent applicables.

Vous pouvez lire notre document complet pour en savoir plus. Nous invitons également les chercheurs, les décideurs politiques et les technologues intéressés par la mesure et l'amélioration de l'infrastructure de l'internet à collaborer avec nous.

Bulut Ulukapiest candidat au doctorat à l'université de Twente. Ses recherches actuelles portent sur la mesure de l'Internet et l'amélioration de la transparence de l'infrastructure du réseau. Il a précédemment travaillé sur l'analyse des logiciels malveillants et de l'obscurcissement.

____________________________________________________________________________

Les opinions exprimées par les auteurs de ce blog sont les leurs et ne reflètent pas nécessairement celles de l'Internet Society.