Fibre optique et cybersécurité

Posted on 16 octobre 20235 décembre 2023 by Ifotec Ifotec

Comment la fibre optique renforce la cybersécurité de nos réseaux ?

Le mois de la cybersécurité 2023

La cybersécurité est devenue un enjeu majeur à l’ère numérique, où nos vies personnelles et professionnelles sont de plus en plus interconnectées par le biais d’Internet. Les entreprises, les gouvernements et les particuliers sont tous exposés aux menaces en ligne, la protection des réseaux est donc devenue une priorité. Dans ce contexte, la fibre optique émerge comme une technologie cruciale pour renforcer la cybersécurité des réseaux. Dans cet article, Pascal, notre ingénieur Projet va explorer en quoi la fibre optique est essentielle pour garantir la sécurité de nos communications numériques.

C’est quoi la sécurité intrinsèque ?

La fibre optique offre une sécurité intrinsèque grâce à sa conception même. Contrairement aux câbles en cuivre traditionnels, les câbles en fibre optique ne génèrent pas de signaux électriques, ce qui les rend invulnérables aux interférences électromagnétiques. Cela signifie que les informations transmises via la fibre optique ne peuvent pas être interceptées par des dispositifs de surveillance clandestins qui exploitent les émissions électromagnétiques. Cette caractéristique fondamentale garantit un niveau de confidentialité élevé pour les données transitant par les réseaux de fibre optique.

L’immunité aux attaques par injection de courant

L’une des méthodes couramment utilisées par les pirates informatiques pour compromettre la sécurité des réseaux câblés est l’injection de courant. Cela consiste à introduire dans les câbles des courants électriques pour manipuler les données transmises. La fibre optique, étant dépourvue de courant électrique, est immunisée contre de telles attaques. Cette caractéristique rend les réseaux de fibre optique considérablement plus sûrs que leurs homologues en cuivre.

La difficulté d’interception sur fibre optique

Les signaux optiques transmis via la fibre optique sont difficiles à intercepter en raison de leur nature. Contrairement aux signaux électriques, qui peuvent être captés à distance à l’aide d’équipements sensibles, la lumière optique utilisée dans la fibre optique est limitée à la ligne de transmission elle-même. Pour intercepter un signal optique, un intrus devrait soit accéder physiquement au câble, ce qui serait immédiatement détecté, soit utiliser des méthodes extrêmement complexes et coûteuses pour détourner la lumière sans être détecté.

Une cryptographie efficace

La fibre optique peut être utilisée en conjonction avec des méthodes de cryptographie avancées pour renforcer encore la sécurité des données. Les informations sensibles peuvent être chiffrées avant d’être transmises via la fibre optique, ce qui garantit qu’elles restent confidentielles même en cas d’interception. La combinaison de la fibre optique et de la cryptographie offre une protection multicouche essentielle pour la sécurité des réseaux.

La réduction des risques de piratage

En raison de ses avantages en matière de sécurité, la fibre optique est de plus en plus utilisée dans les réseaux critiques, tels que ceux utilisés par les institutions financières, les gouvernements et le secteur de la santé. Cette adoption généralisée contribue à réduire les risques de piratage et à renforcer la résilience des infrastructures numériques essentielles.

IFOTEC : Votre partenaire en cybersécurité

IFOTEC se distingue par son engagement envers l’innovation et la sécurité, en fournissant des produits de pointe qui intègrent des mesures de sécurité avancées pour protéger les réseaux contre les menaces cybernétiques. Nos switches et convertisseurs de média Gigabit Ethernet assurent la fiabilité et la sécurité réseau, grâce à notre expertise en transmission sur fibre optique, même en environnements sévères.

La fibre optique est bien plus qu’un simple moyen de communication rapide ; elle joue un rôle central dans la protection des réseaux contre les cyberattaques. À mesure que la cybersécurité devient un enjeu de plus en plus important, la fibre optique continuera de jouer un rôle essentiel dans la défense de nos données et de nos communications contre les menaces en ligne.

Ecrit par Pascal Brand, ingénieur Projet chez IFOTEC.

D’autres articles de Pascal :

Le VLAN Hopping

Posted on 25 octobre 20223 novembre 2022 by Ifotec Ifotec

A l’occasion de ce #CyberMois, une présentation sur les attaques réseau de type VLAN Hopping.

Qu’est-ce que le VLAN Hopping ?

Le VLAN Hopping est un type d’attaque consistant à forger des paquets Ethernet ayant des étiquettes VLAN spécifiques permettant de pouvoir envoyer du trafic dans un VLAN non autorisé. Ce type d’attaque n’est pas bidirectionnelle : il n’est pas possible pour l’attaquant d’écouter un trafic issu d’un VLAN non autorisé.

Exemple d’un réseau configuré en mode QinQ (VLAN Stacking).

Dans cet exemple, les deux commutateurs sont configurés en mode QinQ. Les ports connectés aux PC sont configurés en mode VLAN ACCESS et les ports d’interconnexion entre commutateurs sont configurés en mode VLAN TRUNK avec comme VLAN natif, le VLAN 10 configuré en mode tagué VLAN. Les commutateurs sont configurés pour autoriser les VLAN 10 et 20. Pour les personnes ne sachant pas ce qu’est le mode QinQ, je vous conseille d’aller lire mon précédent article qui est ici.

L’attaquant envoie un paquet avec une étiquette VLAN 20. Le premier commutateur accepte le paquet et l’affecte dans le VLAN 10 : le paquet ressort sur le port TRUNK avec une double étiquette VLAN (outer-tag = VLAN 10 et inner-tag VLAN 20). Le second commutateur reçoit le paquet, il le transmet vers le port ACCESS qui fait partie du VLAN 10 car il a identifié que le outer-tag est le VLAN 10. Lorsque le port sort sur le port ACCESS, le outer-tag VLAN 10 est supprimé. Dans cette situation il n’y a pas de soucis, le paquet transite bien sur les bons ports.

Par contre, si on configure les ports TRUNK avec le VLAN natif en mode non-tagué VLAN, voilà ce qu’il se passe :

Native VLAN QinQ untagged (VLAN Hopping)

L’attaquant envoie un paquet avec une étiquette VLAN 20. Le premier commutateur accepte le paquet et l’affecte dans le VLAN 10 : vu que le VLAN natif est configuré en mode non-tagué, le paquet ressort sur le port TRUNK sans le outer-tag VLAN 10. Le second commutateur reçoit le paquet, il le transmet vers le port ACCESS qui fait partie du VLAN 20 car il a identifié que le outer-tag est le VLAN 20. Lorsque le port sort sur le port ACCESS, le outer-tag VLAN 20 est supprimé. Dans cette situation, l’attaquant a réussi à envoyer le paquet dans le VLAN 20 alors qu’il n’a accès normalement qu’au VLAN 10.

Pour information, les commutateurs IFOTEC de gamme INET, lorsqu’ils sont configurés en mode QinQ ne permettent pas de configurer le VLAN natif en mode non-tagués, ce qui évite ce type d’attaque.

Exemple d’un réseau qui n’est pas configuré en mode QinQ

Dans cet exemple, les deux commutateurs ne sont pas configurés en mode QinQ. Les ports connectés aux PC sont configurés en mode VLAN ACCESS sauf l’attaquant qui est connecté sur un port en mode VLAN TRUNK où seul le VLAN 10 est autorisé. Les ports d’interconnexion entre commutateurs sont configurés en mode VLAN TRUNK avec comme VLAN natif, le VLAN 10 configuré en mode tagué VLAN. Les commutateurs sont configurés pour autoriser les VLAN 10 et 20.

Native VLAN Native tagged (VLAN Hopping)

L’attaquant envoie un paquet avec une double étiquette VLAN (outer-tag = VLAN 10 et inner-tag = VLAN 20). Le premier commutateur accepte le paquet car le outer-tag est le VLAN 10 : le paquet ressort sur le port TRUNK non modifié. Le second commutateur reçoit le paquet, il le transmet vers le port ACCESS qui fait partie du VLAN 10 car il a identifié que le outer-tag est le VLAN 10. Lorsque le port sort sur le port ACCESS, le outer-tag VLAN 10 est supprimé. Dans cette situation il n’y a pas de soucis, le paquet transite bien sur les bons ports.

Par contre, si on configure les ports TRUNK avec le VLAN natif en mode non-tagué VLAN, voilà ce qu’il se passe :

Native VLAN Native untagged (VLAN Hopping)

L’attaquant envoie un paquet avec une double étiquette VLAN (outer-tag = VLAN 10 et inner-tag = VLAN 20). Le premier commutateur accepte le paquet car le outer-tag est le VLAN 10 : le paquet ressort sur le port TRUNK avec le outer-tag VLAN 10 supprimé. Le second commutateur reçoit le paquet, il le transmet vers le port ACCESS qui fait partie du VLAN 20 car il a identifié que le outer-tag est le VLAN 20. Lorsque le port sort sur le port ACCESS, le outer-tag VLAN 20 est supprimé. Dans cette situation, on voit que l’attaquant a réussi à envoyer le paquet dans le VLAN 20 qui n’est pas autorisé.

A noter que sur un port configuré en mode ACCESS sur un équipement IFOTEC, les paquets entrants sont bloqués s’ils ont une étiquette VLAN mais ce n’est pas forcément le cas sur des équipements d’autres fabricants.

Conclusion.

Pour éviter les VLAN Hopping, il faut autant que possible configurer les ports TRUNK avec le VLAN natif en mode tagué et configurer les ports où un attaquant peut venir se connecter en mode ACCESS. Une erreur de configuration peut être difficile à identifier car le réseau peut être fonctionnel et pourtant ne pas être protégé contre ce type d’attaques.

Un article de Cédric Marmonier, ingénieur R&D chez IFOTEC.

Retrouvez plus d’actualités sur le LinkedIn d’IFOTEC.

A lire également les articles suivants :

Mieux connaître les cyberattaques sur systèmes embarqués

Cybersécurité, comment améliorer sa politique de sécurité numérique ?

Bonnes pratiques de la gestion des secrets

Pourquoi utiliser les VLAN pour sécuriser les réseaux ?

Zoom sur le HTTPS

Gestion des secrets

Posted on 14 octobre 202131 juillet 2023 by Accès Administrateur

Bonnes pratiques de la gestion des secrets

Par Pascal Brand, ingénieur R&D IFOTEC I 14 octobre 2021 I Cybermois

Vous souhaitez limiter les risques d’attaques sur votre réseau et le vol de vos données sensibles ? Pour une meilleure gestion des secrets, ne négligez ni le choix de vos mots de passe, ni leur moyen de stockage.

Comment choisir un bon mot de passe ?

Pour être fiable, un mot de passe doit être imprédictible. Pour cela il y a quelques règles à respecter pour la gestion des secrets :

Il doit avoir une taille suffisante et des caractères variés. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) préconise une longueur de 12 caractères minimum, comprenant des minuscules, majuscules et caractères spéciaux. Il ne faut que quelques secondes à une machine pour tester toutes les combinaisons possibles d’un mot de passe de 8 caractères avec uniquement des lettres minuscules, alors qu’il lui faudrait plusieurs milliers d’années pour un mot de 12 caractères contenant des minuscules, majuscules et caractères spéciaux !
Eviter les mots courants. L’attaque la plus classique pour retrouver un mot de passe est l’attaque par dictionnaire qui consiste à tester tous les mots les plus couramment utilisés.
Il doit être conservé de manière sûre et pas à la vue de tous. Il est très risqué de conserver son mot de passe sur un document non chiffré ou sur du papier. L’utilisation d’un gestionnaire de mot de passe peut être une bonne solution. Il s’agit d’un logiciel qui permet de stocker dans une base de données chiffrée tous vos identifiants et mots de passe.
Il ne faut pas utiliser le même mot de passe à plusieurs endroits, et le changer régulièrement, afin de limiter les risques qu’il ne soit compromis. Il arrive régulièrement que des bases de données fuitent et révèlent des identifiants et mots de passe d’utilisateurs.

Comment stocker des données sensibles dans une mémoire ?

Il ne faut jamais stocker d’informations sensibles « en clair » dans une mémoire qui peut être relue depuis l’extérieur. Pour les mots de passe, il est préférable de n’en stocker qu’un format hashé. Un hash est une opération irréversible qui consiste à transformer une donnée en une autre. Ainsi, si des données fuitent du système, seul un hash sera accessible.

Afin de limiter la fuite de données depuis la mémoire interne des microcontrôleurs, il est généralement possible d’activer sa « read protection » qui empêche de relire son contenu une fois le composant programmé.

Comment IFOTEC protège les données sensibles dans ses produits ?

Sur les produits sécurisés de la gamme IFOTEC, la protection en lecture est active et seul un hash des mots de passe est enregistré, auquel est ajouté un grain de sel. Le grain de sel est une chaîne de caractère unique pour chaque produit, qui est ajouté au mot de passe avant l’opération de hashage afin de le complexifier et de rendre le hash différent sur chaque produit ayant le même mot de passe. Ainsi, si le contenu de la mémoire venait à être révélé, on ne pourrait ni en déduire le mot de passe, ni se servir des informations sur d’autres produits.

Cybersécurité : les principes

Posted on 7 octobre 202131 juillet 2023 by Accès Administrateur

Comment améliorer sa politique de sécurité numérique ?

Par Cédric Marmonier, ingénieur R&D IFOTEC I 07 octobre 2021 I Cybermois

Et si on faisait plus attention à notre sécurité numérique ? Quelles sont les bonnes pratiques à mettre en place pour un réseau sécurisé ? En ce #Cybermois, quelques principes fondamentaux en Cybersécurité.

Cybersécurité, késako ?

C’est l’ensemble des moyens à mettre en place afin de garantir une disponibilité à l’accès aux données et services numériques ainsi que de s’assurer de l’intégrité et la confidentialité des informations sensibles.

Les termes à connaitre :

Disponible : le bien est accessible et opérationnel.
Confidentiel : information non accessible aux personnes non accréditées.
Intègre : l’information ne peut pas être modifiée par une personne non accréditée.
Authentique : la source de l’information a été identifiée comme étant fiable.
Secret : donnée sensible qui en cas de divulgation pourrait compromettre la sécurité du réseau (ex : mot de passe, clef de chiffrement).
Traçabilité : capacité à pouvoir répertorier les événements passés.

Vous êtes le maillon faible. Au revoir !

Tous les maillons de la chaine sont importants. En négliger un peut avoir des conséquences dramatiques, donc pensez à la vérifier intégralement :

Les utilisateurs : sont-ils formés et sensibilisés aux bonnes pratiques ?… Il n’est pas rare de voir une personne cliquer sur un lien sans prendre le temps d’identifier la source : « Think Before U Click ».
Les équipements : sont-ils adaptés au cas d’utilisation ? Sont-ils réellement fiables ?… Ce n’est pas parce qu’un équipement utilise un protocole dit « sécurisé » pour échanger des informations que ce protocole est réellement robuste. Par exemple, le protocole HTTPS peut gérer plusieurs algorithmes de chiffrement : certains de ces algorithmes sont déconseillés à l’utilisation, il est donc important de vérifier ce genre d’informations et que les équipements soient correctement configurés.
Les infrastructures : est-ce qu’une personne malintentionnée peut avoir accès physiquement à votre réseau ?… il pourrait le modifier pour introduire ses propres équipements espions ou encore dégrader le matériel afin de perturber le bon fonctionnement des services.
Les prestataires : est-ce que leur politique de cybersécurité est bonne ?… un prestataire peut avoir enregistré le mot de passe pour accéder à votre réseau dans un simple fichier en l’ayant enregistré dans un espace de stockage partagé non sécurisé.

Répertorier, définir, mettre en œuvre, évaluer.

Il est important d’identifier les différentes données qui sont disponibles sur votre réseau informatique et d’évaluer les impacts qui peuvent survenir en cas de divulgation ou d’altération de celles-ci : ceci permet de pouvoir définir une bonne politique de confidentialité en fonction du niveau d’accréditation des utilisateurs. En complément, une analyse de risque recensant les différents types d’attaques avec une estimation de leur impact et de leur fréquence permet de définir les moyens à mettre en place dans sa politique de sécurité. Une fois la mise en œuvre terminée, il est indispensable de tester et d’évaluer les solutions choisies afin de valider leur robustesse.

Je suis le plus fort !… Oui mais non.

Se croire invulnérable est bien la dernière chose à faire en Cybersécurité : tous les jours des hackers trouvent de nouvelles failles de sécurité dans des systèmes. Il est donc important de se renouveler :

Réévaluer en permanence vos processus en Cybersécurité.
Auditer régulièrement votre système.
Se former continuellement.
Se renseigner constamment sur l’actualité : est-ce qu’une nouvelle faille de sécurité a été découverte ? Est-ce que l’un de mes prestataires s’est fait attaquer et que des données me concernant ont été divulguées ? Est-ce que les technologies que j’utilise sont toujours fiables ? Est-ce que les algorithmes de chiffrement que j’utilise sont encore préconisés ?…

Toujours plus loin, toujours plus haut, toujours plus fort.

Comme dit précédemment, aucun système informatique n’est invulnérable. Mais plus on met de couches de sécurité, plus il sera long et compliqué pour l’assaillant d’arriver à ses fins. L’objectif d’ajouter toujours plus de couches, c’est d’arriver à démotiver l’assaillant afin qu’il finisse par abandonner. Plus le gain convoité est grand, plus grande est sa motivation et donc, plus il faut sécuriser son système : pour les informations peu convoitées, il n’est pas forcément nécessaire de mettre beaucoup de moyens de protection car le « toujours plus », implique généralement des coûts plus élevés et plus de temps à consacrer… tout est histoire de compromis.

Et IFOTEC dans tout ça ?

Avec ses nouvelles gammes d’équipements Ethernet, IFOTEC vous apporte des solutions robustes et fiables afin que vous puissiez mettre en œuvre des réseaux sécurisés. IFOTEC propose des équipements de taille réduite fonctionnant dans des environnements sévères (température, humidité, milieux perturbés électromagnétiquement) avec des protocoles de chiffrement fiables et performants conformément aux directives préconisées par l’ANSSI. Les équipements munis d’un grand nombre de fonctionnalités tel que :

Accès chiffré à l’interface de configuration du produit par HTTPS et SSH afin de garantir un échange d’information confidentiel et intègre (utilisation de protocole de chiffrement de type courbe elliptique).
Réseau virtuel VLAN permettant d’isoler les différents services et ainsi de préserver leur confidentialité.
Gestion du protocole de redondance de liens RSTP pour garantir la disponibilité des services en cas de dégradation d’un lien.
Gestion de la QoS pour garantir la disponibilité des services critiques.
Contrôle des accès par règles ACL MAC.
Traçabilité via la gestion du journal d’évènements avec configuration des différents types d’alarmes.
Préservation des secrets enregistrés dans la configuration du produit.
Vérification de l’intégrité de l’authenticité des firmwares chargés.

Switches Gigabit INet et cybersécurité

Posted on 15 juin 202031 juillet 2023 by Ifotec Ifotec

La série INet évolue et améliore la sécurité de vos réseaux

Nouveau produit ! INet6+ PoE+ Switch industriel avec management sécurisé

Pour vos réseaux fibres optiques, IFOTEC a conçu INet6+, un switch Gigabit de 4 ports PoE (PSE) qui s’adapte parfaitement aux exigences des réseaux dans les fonctions de sécurité.
INet6+ fournit jusqu’à 35W à un équipement PoE type PD, permet de construire une boucle auto cicatrisante et dispose aussi d’un accès chiffré aux données de fonctionnement du switch (HTTPS).

Avant tout, son interface de management est intuitive. Les nombreuses fonctionnalités ont été conçues pour simplifier et également faciliter le monitoring des produits :

Sécurisation du réseau via redondance de liens (réseau maillé et en boucles) : protocole Rapid Spanning Tree
Fonctions de gestion de Qualité de service (QoS)
Accès interface de management sécurisée : protocole HTTPS avec support Courbes Elliptiques
Authentification du firmware protégé par signature numérique
Interface Web de configuration simple d’utilisation