Pour gérer vos consentements :

Sécurité IT : NTP ou le maillon faible du cyberespace ?

Espionner des communications chiffrées, contourner des certificats de sécurité, bloquer des transactions en monnaie virtuelle, empêcher le fonctionnement d’applications et de services, faire expirer des signatures cryptographiques… Autant d’actions rendues possibles grâce au Protocole d’Heure Réseau – connu sous l’acronyme NTP, pour « Network Time Protocol ».

C’est le principal constat établi par une équipe de chercheurs de l’université de Boston.

Conçu pour synchroniser, via un réseau informatique, l’horloge locale des ordinateurs, le NTP avait été formalisé pour la première fois il y a tout juste 30 ans (septembre 1985). On représente généralement son architecture sous la forme d’une pyramide.

Au sommet, des récepteurs qui récupèrent l’heure de références par radios, câbles, satellites ou directement depuis une horloge atomique. Des données ensuite transmises à des serveurs de temps eux-mêmes connectés à d’autres serveurs… et ainsi de suite jusqu’aux clients.

Cette synchronisation est indispensable pour corriger le décalage induit par les temps de latence variables selon les réseaux. Et surtout, elle conditionne le bon fonctionnement de nombreuses applications, notamment dans le domaine du chiffrement.

Problème : on manque aujourd’hui encore de visibilité sur la robustesse du protocole, ainsi que sur l’intégrité des données transmises par ce biais. D’autant plus que le chiffrement symétrique ou asymétrique, pris en charge par NTP, est très peu utilisé en pratique.

Quartier libre

C’est sur cette négligence que se fondent l’essentiel des cas exposés par les chercheurs dans leur rapport « Attacking the Network Time Protocol » – document PDF, 18 pages – publié le 21 octobre 2015.

Les principaux exploitants de NTP avaient été avertis dès le 20 août. Cisco, Red Hat, NTPSec ou encore la Network Time Foundation ont chacun patché, en conséquence, leur implémentation du protocole.

L’absence de chiffrement ne fait pas tout, mais facilite les démarches des pirates, qui peuvent intercepter le trafic entre les serveurs NTP et leurs clients. Cette attaque de type « Man-in-the-Middle » permet de modifier l’heure sur le client… avec les conséquences sus-évoquées.

Dans la pratique, ce n’est pas si simple : des protections ont été implémentées dans NTP. En tête de liste, un intervalle maximum généralement réglé à 1 000 secondes, soit un peu plus de 16 minutes. Tout décalage d’horloge supérieur à cette valeur doit normalement être rejeté.

Perturbations

Une méthode de contournement vient à l’esprit : modifier le temps « par étapes », sans jamais dépasser ce délai. Sauf qu’il existe une deuxième protection : les modifications ne peuvent se faire que toutes les 5 minutes maximum avec la dernière révision du protocole (4.2.8).

Le salut des chercheurs est venu de cette option config -g, qui permet de régler l’horloge sur n’importe quelle valeur à l’initialisation du système. Elle est active par défaut sur de nombreuses plates-formes, dont les OS Linux (voir en page 6 du rapport pour davantage de détails).

Encore plus préoccupant : même un tiers qui n’a pas la possibilité d’espionner le trafic entre client et serveur(s) est capable de lancer une attaque, depuis n’importe quel endroit du réseau. Comment ? En détectant, avec un logiciel comme zmap, ce paquet IP qu’un serveur NTP adresse parfois au client pour lui demander de ne plus effectuer de requêtes pendant un certain temps.

Destiné à réduire la charge qui pèse sur le serveur, ce paquet que les chercheurs appellent KoD (« Kiss-‘o-Death ») peut être compromis pour forcer la connexion à des serveurs volontairement réglés sur la mauvaise heure… ou tout simplement couper toute synchronisation (faille CVE-2015-7704).

Quelles répercussions sur les systèmes informatiques ? On retiendra l’exemple de ces deux serveurs NTP (tick.usno.navy.mil et tock.usno.navy.mil) qui avaient connu un dysfonctionnement en novembre 2012, revenant brièvement en arrière de 12 ans. Cela avait perturbé des routeurs, des standards téléphoniques et des serveurs d’authentification Active Directory.

Crédit photo : pixelparticle – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

2 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago