Sécurité IT : NTP ou le maillon faible du cyberespace ?
Des chercheurs attirent l’attention sur les fragilités du protocole NTP, exploitable à bien d’autres fins que la synchronisation horaire des ordinateurs.
Espionner des communications chiffrées, contourner des certificats de sécurité, bloquer des transactions en monnaie virtuelle, empêcher le fonctionnement d’applications et de services, faire expirer des signatures cryptographiques… Autant d’actions rendues possibles grâce au Protocole d’Heure Réseau – connu sous l’acronyme NTP, pour « Network Time Protocol ».
C’est le principal constat établi par une équipe de chercheurs de l’université de Boston.
Conçu pour synchroniser, via un réseau informatique, l’horloge locale des ordinateurs, le NTP avait été formalisé pour la première fois il y a tout juste 30 ans (septembre 1985). On représente généralement son architecture sous la forme d’une pyramide.
Au sommet, des récepteurs qui récupèrent l’heure de références par radios, câbles, satellites ou directement depuis une horloge atomique. Des données ensuite transmises à des serveurs de temps eux-mêmes connectés à d’autres serveurs… et ainsi de suite jusqu’aux clients.
Cette synchronisation est indispensable pour corriger le décalage induit par les temps de latence variables selon les réseaux. Et surtout, elle conditionne le bon fonctionnement de nombreuses applications, notamment dans le domaine du chiffrement.
Problème : on manque aujourd’hui encore de visibilité sur la robustesse du protocole, ainsi que sur l’intégrité des données transmises par ce biais. D’autant plus que le chiffrement symétrique ou asymétrique, pris en charge par NTP, est très peu utilisé en pratique.
Quartier libre
C’est sur cette négligence que se fondent l’essentiel des cas exposés par les chercheurs dans leur rapport « Attacking the Network Time Protocol » – document PDF, 18 pages – publié le 21 octobre 2015.
Les principaux exploitants de NTP avaient été avertis dès le 20 août. Cisco, Red Hat, NTPSec ou encore la Network Time Foundation ont chacun patché, en conséquence, leur implémentation du protocole.
L’absence de chiffrement ne fait pas tout, mais facilite les démarches des pirates, qui peuvent intercepter le trafic entre les serveurs NTP et leurs clients. Cette attaque de type « Man-in-the-Middle » permet de modifier l’heure sur le client… avec les conséquences sus-évoquées.
Dans la pratique, ce n’est pas si simple : des protections ont été implémentées dans NTP. En tête de liste, un intervalle maximum généralement réglé à 1 000 secondes, soit un peu plus de 16 minutes. Tout décalage d’horloge supérieur à cette valeur doit normalement être rejeté.
Perturbations
Une méthode de contournement vient à l’esprit : modifier le temps « par étapes », sans jamais dépasser ce délai. Sauf qu’il existe une deuxième protection : les modifications ne peuvent se faire que toutes les 5 minutes maximum avec la dernière révision du protocole (4.2.8).
Le salut des chercheurs est venu de cette option config -g, qui permet de régler l’horloge sur n’importe quelle valeur à l’initialisation du système. Elle est active par défaut sur de nombreuses plates-formes, dont les OS Linux (voir en page 6 du rapport pour davantage de détails).
Encore plus préoccupant : même un tiers qui n’a pas la possibilité d’espionner le trafic entre client et serveur(s) est capable de lancer une attaque, depuis n’importe quel endroit du réseau. Comment ? En détectant, avec un logiciel comme zmap, ce paquet IP qu’un serveur NTP adresse parfois au client pour lui demander de ne plus effectuer de requêtes pendant un certain temps.
Destiné à réduire la charge qui pèse sur le serveur, ce paquet que les chercheurs appellent KoD (« Kiss-‘o-Death ») peut être compromis pour forcer la connexion à des serveurs volontairement réglés sur la mauvaise heure… ou tout simplement couper toute synchronisation (faille CVE-2015-7704).
Quelles répercussions sur les systèmes informatiques ? On retiendra l’exemple de ces deux serveurs NTP (tick.usno.navy.mil et tock.usno.navy.mil) qui avaient connu un dysfonctionnement en novembre 2012, revenant brièvement en arrière de 12 ans. Cela avait perturbé des routeurs, des standards téléphoniques et des serveurs d’authentification Active Directory.
Crédit photo : pixelparticle – Shutterstock.com