Bitdefender Box 2 – Cyber-sécurité résidentielle

La Bitdefender Box 2 dédiée à la Cyber-sécurité résidentielle est issue d’un partenariat avec Netgear, présentée lors du CES 2018, cette nouvelle version de la Bitdefender Box annonce beaucoup d’avantages sur le papier pour environ 250€ généralement constaté. En effet, la lecture des spécifications de ce produit semble vraiment bien penser pour répondre aux problématiques de sécurité numérique de nos résidences.

Bitdefender est une société Roumaine, créée en 2001 :

• 500 Millions d’utilisateurs dans le monde
• Un des leaders des solutions de sécurités logicielles,
• Les meilleurs scores de protections et de performances depuis plus de 5 ans.

À la suite du précédent article Maisons connectées et Cybersecurité où je prétends ne pas connaître de solution sur le marché prenant en considération les bonnes pratiques évoquées, j’ai contacté Bitdefender France pour savoir s’il serait intéressé pour relever le défi d’un audit sécurité de leur Box. Après quelques échanges et précisions, j’ai obtenu une Bitdefender Box 2 quelques jours après (Merci encore pour la promptitude).

Les spécifications fonctionnelles globales sont :

• Protection de la navigation Web,
• Analyse des vulnérabilités des appareils,
• Détection des appareils sur votre réseau local,
• Prévention de l’exploitation des vulnérabilités connues,
• Détection des anomalies,
• Protection contre les attaques par « force brute ».
• Le contrôle parental.

Il n’est pas question dans cet article de faire un unboxing et copier/coller de la notice/manuel utilisateur (webographie en fin d’article), mais bien d’évaluer les spécifications annoncées et les comparer aux bonnes pratiques listées dans mon précédent article. Nous saurons donc en conclusion si le dispositif Bitdefender répond aux attentes listées dans l’article Maisons connectées et Cybersecurité.

D’abord voyons comment la solution est présentée par le fabricant :

1. Le contexte

En terme de veille concurrentielle les produits concurrents sur le marché, ou en tous cas alignés et positionnés comme offre globale « grand public » dans le même segment sont les boxes :

• F-Secure Sense (2015) – Boitier assez ancien n’ayant pas fait d’émule malgré sa position de pionnier.
• Norton Core (2016) – Boitier plus proche d’un routeur SOHO/Family (Small office / Home office) que d’une solution orientée IoT (CERTFR-2018-AVI-210).
• CUJO (2016) – Développé en crowdfunding Indiegogo ce routeur est présenté comme un pare-feu intelligent.
• La première génération Bitdefender Box (2016) – Proche du Proof of Concept ce boitier n’a pas la même maturité que la version 2.
• La nouvelle Bitdefender Box 2 (fin 2017) – Evolution naturelle du POC V1.

Bitdefender pourrait avoir la perspective de mettre en place une cartographie des attaques, failles et menaces par le biais du « Machine learning » et de « IA » avec en prime la mise en place d’une solution en mode « Edge computing » (Déplacer/Décentraliser certains traitements au plus près de son contexte/environnement de fonctionnement) voir en « Fog Computing ».

Le pari est énorme, mais la réussite de cette démarche pourrait bien évidement porter ses fruits assez vite si le seuil minimum de Bitdefender Box 2 est déployé rapidement. Quelque soit le constructeur/éditeur, le challenge pourrait être payant. Cependant, Bitdefender deviendrait implicitement le point convergent des ambitions de Cybercriminels de la planète (cf.: Comment les cybercriminels exploitent le Machine Learning).

Remarque : Concernant le Norton Core

Doté d’un processeur double cœur 1,7 GHz, de 1 Go de RAM et 4 Go de mémoire Flash, l’appareil est capable de faire en temps réel de l’inspection de paquets en profondeur (Deep Packet Inspection, DPI) de tous les flux. Il dispose également d’un système de détection et de prévention d’intrusion (IDS/IPS) pour détecter le trafic malveillant, des fonctions que l’on trouve d’ordinaire plutôt dans des équipements pour entreprises. Autre caractéristique inspirée des usages professionnelles : la segmentation des réseaux. Le Norton Core permet de cloisonner ses différents équipements dans des réseaux isolés les uns des aux autres. Par exemple : un réseau pour les objets connectés, un autre pour les PC et smartphone et un troisième pour les invités. L’avantage, c’est que quand l’un est infiltré par des pirates, ces derniers ne pourront que difficilement accéder aux autres.

2. Le boitier

A première vue le boitier d’un design en forme de tour peut se fondre dans un intérieur sans se faire remarquer, mais celui-ci reste tout de même imposant malgré l’intégration interne des 3 antennes nécessaires à la caractéristique MU-MIMO 3×3:3 (Wave-2), qui soit dit en passant n’est pas légion dans nos terminaux à ce jour. La conception est quasiment réalisé en plastique ce qui fait que le boitier est lesté dans chacun de ses pieds.

2.1. Caractéristiques annoncées (commerciales)

2.1.1. Spécifications de la carte mère

• Dual Core ARM® Cortex®-A9 @1,2 Ghz
• 1 Go de mémoire DDR3
• 4 Go de stockage interne

2.1.2. Sans fil (WiFi)

• Points d’accès sans fil simultanés bi-bande 2,4 Ghz &5 Ghz, avec configuration antenne MU-MIMO 3×3
• IEEE 802.11a/b/g/n/ac Wave-2 @ AC1900

2.1.3. Connectivité physique

• 2 x Ethernet 10/100/1000 BaseT
• 1 port LAN
• 1 port WAN

2.1.4. Comparaison BB1 vs BB2

 

2.2. Que se cache-t’il sous le capot ?

La section ci-dessus est tirée des éléments commerciaux publié par Bitdefender. Je vous propose quelques éléments complémentaires afin de mieux mesurer la réalité matérielle de la plateforme « BB2 » (Bitdefender Box 2).

Cette plateforme à base d’un SOC Dual Core ARM® Cortex®-A9 cadencé à 1,2 Ghz est une architecture très musclée à priori adaptée aux besoins IDS/IPS (Intrusion Detection System ou Intrusion Prevention System) voir DPI (Deep Packet Inspection). Les différentes captures de trames NMap (Interface intérieure: nmap -sV -v -O 172.24.1.1 « OSFingerPrinting ») laissent penser que nous somme en présence d’un système OpenWRT avec un noyau Linux 3.19.3 au minimum. Aucun port n’est ouvert sur l’interface extérieure.

Les différents éléments collectés me laissent penser que nous sommes en présence d’une architecture Freescale QorIQ LS1024A mais je n’ai pas confirmé mon diagnostique en décollant le radiateur/dissipateur du CPU. Ce qui motive mon point de vue est que processeur QorIQ LS1024A comprend nativement un puissant moteur d’inspection de trames (Deep Packet Inspection) avec une forte capacité de décompression GZIP. Ces atouts sont en effet, des capacités très utiles pour ce type de produit orienté sécurité résidentielle.

Le formfactor sur base triangulaire est un parti prix design plus que pratique. La radiation radio doit profiter de 3 secteurs et permet la mise en œuvre d’antennes par pans sectorielles 120º. 3 antennes « patch » réparties sur chacune des parois doivent apporter la radiation omnidirectionnelle Mu-Mimo 3X3:3.

2.2.1. Voici quelques visuels tirés de la certification FCC

Intégration antennes

La carte mère

3. L’installation

Rien à noter de particulier au sujet de l’installation de la BB2 elle-même. Tout est parfaitement prévu depuis l’application mobile pour déployer la box selon trois cas d’usages distincts. Le processus d’installation accompagne l’utilisateur depuis son mobile comme pour toutes les solutions modernes et contemporaines du monde de l’IoT. Les cas d’installations sont les suivants :

• Je crée un réseau derrière le boitier de mon fournisseur d’accès à internet (FAI), et je clone le WiFi de ce routeur,
• Je crée un réseau derrière un routeur personnel lui-même derrière ma box FAI, et je clone le WiFi de ce routeur,
• Je crée un réseau supplémentaire [Stand Alone] (mode pont/bridge) avec un nouveau réseau WiFi.

Pour ma part le bénéfice de la fonction de clonage WiFi est un problème plus qu’un avantage. En effet, durant la phase d’installation, il est proposé à l’utilisateur de copier la configuration du réseau sans fil existant (SSID/Proto/Chiffrement) afin de ne pas reconfigurer tous les clients Wifi de votre réseau.

Cloner un réseau sans remettre en question les protocoles de chiffrement et la complexité de la clé partagée (passphrase) est absurde de mon point de vue. Simplifier à tout pris n’est pas forcément idéal et dans ce cas « le mieux est l’ennemi du bien ». Il serait plus pertinent d’expliquer la situation à l’utilisateur lors de l’installation afin de remédier à la situation de risque. Cependant je n’ai pas fait le test d’un SSID en « mode Open » pour savoir si le processus d’installation bloque le clonage dans ce cas par exemple.

En tant que technophile on peut regretter l’impossibilité de roaming comme la compatibilité WDS ou SSID unifié.

Voici deux vidéos découverte de Bitdefender :

 

4. Bitdefender Central

Bitdefender Central est l’application de gestion de votre box et de vos appareils. Se présentant comme un tableau de bord de suivi et paramétrage de votre stratégie de sécurité, cette interface accessible depuis le web ou depuis une application mobile, permet la gestion des appareils (Devices) et des profils utilisateurs. Ainsi avec cette application vous pouvez :

• Installer, mettre à jour, ou remettre à zéro de la BB2,
• Mettre en oeuvre les protections (déployer / configurer les applications locales à chaque terminal),
• Mettre en oeuvre des optimisations systèmes,
• Gérer les terminaux en cas de vol (Geolocaliser/Alerter/Verrouiller/Effacer),
• Obtenir les rapports d’analyses des vulnérabilités des vos appareils (même hors réseau BB2),
• Définir des règles,
• Mettre en place le contrôle parental,
• Définir une zone géographique de proximité domicile (Enfants)
• Mettre en oeuvre le filtrage de contenu (profil utilisateur),
• Gérer les abonnements logiciels Bitdefender,
• Autoriser ou interdire des sites, des applications …
• Mettre en oeuvre des réservations d’adresses IP,
• Changer l’étendue DHCP,
• Mettre en oeuvre la translation d’adresse/port (NAT)
• Bloquer l’accès à internet,
• Et d’autres choses encore…

Quelques captures d’écran pour ce faire une idée de l’interface web :

Quelques captures d’écran pour ce faire une idée de l’interface mobile :

Cela ressemble à s’y méprendre à une catégorie de logiciels nommé M.D.M. dans le milieu professionnel. MDM pour Mobile Device Management, qui permet de mettre en place la gestion globale d’une flotte de terminaux mobile (End User Management et Lifecycle Device management). Cette IHM est donc à la fois simplifié au maximum tout en concervant un maximum de fonctions pertinentes.

Bitdefender Central s’appuie sur une plateforme MDM (Androïd & iOS) qui demande l’acceptation de 3 certificats de confiance pour le pilotage MDM. Nous pouvons donc gérer et piloter des smartphones ou tablettes à distance avec Bitdefender Central.

 

5. Les tests

5.1. La performance WiFi

Signal/Bruit

On constate aisément que le rapport signal/bruit dans le cas de la Bitdefender box 2 ou de mon UAP-AC Pro est très semblable en A/G/N ou en AC (Wave-1/S-MIMO). On peut même accorder une légère avance sur la BB2 en 2.4GHz. Par contre, le mode AC est même bien supérieur.

Vitesses de transfères (iPerf3)

Toujours dans le même environnement, une batterie de tests ont été exécutés, dans la même configuration réseau. On constate que la fonction « routeur BB2 » ne ralentit quasi pas le trafic ethernet (Gigabit passthrough). Ce qui laisse penser que les fonctions avancés du routeur (IPS/IDS voir DPI) n’ont que peu d’impact sur le trafic.

Par contre, on constate une perte de 50% en mode A/G/N ce qui me semble énorme, et pire encore sur le mode AC (Wave-1/Su-MIMO) qui perd 95% de performance sur mon point d’accès de référence. J’ai refait les tests sur 15 jours et je n’ai jamais obtenu un résultat divergeant. N’étant pas en possession d’un terminal  AC Wave-2/Mu-MIMO 256QAM (Terminal théoriquement idéal pour les performances avec la BB2), j’ai voulu comprendre la raison de la situation assez catastrophique, mais je n’ai pas trouvé l’origine du problème. Serait-ce une mauvais intégration matérielle des chips MediaTek MT7615N ?

J’ai par contre fait le test avec un terminal Androïd 802.11an (5GHz) est je n’ai pas obtenu meilleur résultat que le mode A/G/N de mon iPhone 7. De même, j’obtiens des résultats semblables avec un iPad ancien (A/G/N) ou récent (AC Wave1).

Il est cependant à noter que mon équipement de référence (point d’accès) est de gamme professionnelle (ou semi pro) et que dans le cas pèsent c’est une régression pour ma part. Si vos habitudes de débits locales WiFi sont celles des « boxes » opérateurs FAI (Livebox, BBox, Freebox, SFR Box …) , il est possible que la BB2 fasse mieux (A titre d’information une Freebox en Wifi N obtient une performance proche de mes point d’accès Ubiquiti), mais elle fera probablement moins qu’un routeur/point d’accès de gamme home/Soho (10 clients simultanés max). Il est aussi possible d’utiliser la BB2 pour sécuriser uniquement le flux ethernet avec le Gigabit passthrough sans exploiter le Wifi de la BB2 en cœur de réseau.

Depuis 2017, on trouve des produits 802.11ac Wave 2 compatibles Multi User avec 4 flux de 80 MHz, qui permettent d’atteindre 1733 Mb/s par appareil. Certains appareils revendiquent 2166 Mb/s voir 5330 Mb/s, mais c’est avec une modulation 1024QAM qui n’est pas standardisée, ce qui peut poser des problèmes d’interopérabilité entre équipements de marques différentes.

5.2. Les Cyber-protections

5.2.1. Protection de la navigation Web

Deux approches cohabitent :

La détection d’adresses internet malicieuse est un processus temps réel qui permet de verrouiller l’accès à certains sites web reconnus comme dangereux. Un référentiels (base de données) périodiquement mis à jour est exploité pour permettre aux appareils d’être informés de la criticité/dangerosité de consulter le site web en temps réel.

Le filtrage de contenu web par catégories peut aussi être mis en oeuvre au travers du contrôle parental et contribuer, à l’interception, blocage et notification de la politique appliquée aux profils en question. Les catégories sont assez semblable à celle d’un Proxy Squid Guard ou aux catégories OpenDNS (C’est avec c’est deux techniques que je mets en oeuvre mon « Web Content Filtering »).

Vous pouvez confirmer le fonctionnement de ce dispositif en consultant les URL sur le site Phishtank par exemple pour le Phishing et MalwareDomainList pour les Malwares plus généralement. Par contre ce n’est pas un dispositif de protection sur la box mais sur les terminaux et leurs logiciels de protections.

Évaluation : Fonctions basiques et essentielles qui fonctionne plutôt bien avec la BB2, cela permet une protection préventive pour les utilisateurs qui cliquent souvent sans se poser de question sur les URL jointent dans les mails par exemple. Il y a cependant quelques divergences avec les règles IPS/IDS Snort ou Suricata (DSchield.rules et Drop.rules) qui me font penser que Bitdefender n’utilise pas le référentiel de règles communes aux deux IPS/IDS sus-cités. Je pense même qu’aucun IDS n’est présent sur la box mais probablement uniquement un dispositif DPI (Inspection de trames).

5.2.2. Analyse des vulnérabilités des appareils

Fonction permettant de faire un audit de chaque appareil afin d’obtenir un inventaire des vulnérabilités connues pour chacun des appareils équipés de la suite logicielle. Cette fonction est logicielle et n’est pas mise en oeuvre par la box  elle-même.

Remarque : Cette fonction d’audit peut être mise en oeuvre avec un outil gratuit de Bitdefender nommé « HomeScanner ». Je tiens d’ailleurs à féliciter l’éditeur pour cette pépite très utiles mais uniquement disponible en version Windows. Bitdefender HomeScanner est un puissant scanner réseau ayant pour référence une base de données de vulnérabilités. J’ai d’ailleurs constaté les tentatives bloquées d’identification SSH sur mes serveurs Synology lors de son analyse. Ce logiciel est capable d’exploiter les authentifications d’origines/par défaut des constructeurs. Parfait pour évaluer les dispositifs CamIP aux configurations d’usine, aux imprimantes ou tout autre objet connecté.

Évaluation : L’audit de vulnérabilités est une actions de haute importance vous permettant de déterminer les failles à corriger dans votre infrastructure. Cette fonction est attachée à la suite Total Security 2018, mais ce n’est pas la Bitdefender Box 2 qui amène la fonctionnalité. On ne peut donc pas mettre cette fonction au bénéfice de la BB2 mais de l’ensemble BB2 + Total Security 2018 en Licences illimitées.

5.2.3. Détection des appareils sur votre réseau local

La BitDefender Box 2 met en oeuvre un dispositif de découverte des nouveaux appareils connectés au réseau local.  Une fois l’équipement ajouté et connecté sur le réseau local (Ethernet sur l’interface intérieur ou WiFi), l’application BitDefender Central permettra de déployer les protections individuels sur chaque terminal [Sauf Linux :(].

Fonction très pertinente dans la surveillance régulière des appareils se connectant derrière votre routeur BB2, la boucle de détection de nouveaux appareils permet de rapidement mettre en évidence le nouveau dispositif afin d’analyser les vulnérabilités de ce dernier puis le déploiement des contre-mesures logicielles Total Security 2018 depuis l’IHM Bitdefender Central (Web ou Mobile App).

La fonction peut-être mise en évidence avec une capture de trame (tshark, tcpdump ou wireshark) sur l’interface interne de la BB2.

Un scan ARP périodique permet à la BB2 de détecter la présence d’une nouvelle adresse MAC sur le réseau local lors de la mise à jour de sa table ARP (ARP = Address Resolution Protocol/protocole de résolution d’adresse). C’est effectivement une opération nécessaire à la surveillance des intrusions internes. Dans la capture de trame Wireshark ci-dessus, nous pouvons comprendre que la BB2 lance un « Broadcast ARP » (Trame de découverte par diffusion) et attend en retour de chaque IP de l’étendue 172.24.1.0/24 un retour de l’adresse physique (MAC) de l’équipement présent. Une comparaison avec les adresses MAC connues doit permettre de notifier l’administrateur de BitDefender Central de la présence d’un nouveau périphérique réseau.

Un test « Arpspoof » ou « Man in the Middle Attack » (MITM attack) peut permettre de savoir si une protection d’usurpation est en place afin de vérifier si la adresse MAC est vraiment celle connue et non pas un spoof/clone d’adresse MAC . Je n’ai pas décider d’évaluer cette possibilité car cette éventualité est bloquée par ma politique Radius 802.1x. Cependant c’est effectivement un test à envisager que j’effectuerai plus tard…

Évaluation : Protection très utile nécessitant pas d’ordinateur sonde réseau supplémentaire car le routeur est lui toujours actif. C’est donc une fonction très utile et obligatoire.

5.2.4. Prévention de exploitation des vulnérabilités connues

Le moteur de détection des exploits utilise un référentiels de vulnérabilités connues (CVE) et identifie l’exploitation de la vulnérabilité en interceptant les signatures/marqueurs définissant chaque exploit. Une fois identifié cette attaque se trouve bloquée avant sont exécution. C’est vraiment une fonction pertinente que je mettrai en évidence à l’usage, lorsque je subirais une attaque pour laquelle je n’aurais pas appliqué de correctif. Je vais donc laisser vieillir un système pour opérer ces essais. J’ai tout de même voulu savoir si la Box me préviendrait d’un scan/audit réseau orienté collecte des signatures SSH avec msfconsole [msf auxiliary(scanner/ssh/ssh_version)]. La BB2 ne détecte pas cette méthode de scan chirurgical, mais rassurez-vous mon IDS non plus.

Évaluation : Tous mes systèmes étant toujours à jour des correctifs critiques, j’ai tenté quelques attaques Metasploit « Samba/Smb/Cifs » dans le périmètre  [msf>exploit(windows/smb/**)] mais je n’ai pu exploiter de failles connues pour lesquelles j’aurais oublié de mettre à jour le système du correctif. Donc je n’ai pu mettre en évidence de détection et d’interception d’exploitation de ces failles.

5.2.5. Détection des anomalies

L’analyse comportementale avec le machine-learning est une technologie d’avenir en cyber-sécurité. La BB2 semble se diriger dans cette direction avec un moteur de détection des anomalies couplé aux données du cloud pour comprendre ce que devrait être le comportement des appareils en situations normales et identifier avec précision les activités malveillantes, les bloquer et en alerter l’utilisateur.

En d’autres termes, vos usages communs sont définis et comparé à des usages spécifiques, exceptionnels et anormales pour tenter de détecter des comportements par appareils ne semblant pas être logique. Cela induit des faux-positifs tant que les profils d’usages ne sont pas suffisamment définis et précis.

Évaluation : Il est pour moi impossible d’évaluer ces fonctions à ce jour. Premièrement car il va falloir à la box une masse d’informations suffisamment importante pour opérer un apprentissage, minimum et les quelques semaines d’usages ne sont probablement pas assez. Deuxièmement, des décisions arbitraires et inopinée devraient laisser quelques faux positifs apparaître dans un premier temps avant de comprendre que c’est l’analyse comportementale qui me joue des tours. Nous ne pouvons donc pas prouver dans l’immédiat que cela fonctionne et qui plus est , correctement.

5.2.6. Protection contre les attaques par force brute

Une protection contre les attaques « Brute force » n’est pas obligatoirement nécessaire. Celle-ci est utile seulement si vous ouvrez un port applicatif vers un service interne au réseau BB2. Exemple, un serveur FTP, un serveur SSH, un service Web tout autres services mettant en oeuvre une authentification de connexion à ce service. Si vous ne publiez aucun service, cette protection n’est pas utile (sauf pour des attaques intérieures).

Afin de vérifier cette protection, j’ai mis en place une attaque par « Brute force » depuis l’extérieur du réseau Bitdefender Box 2. Le schéma ci-dessous décrit la maquette :

Depuis une machine Kali, l’utilitaire Hydra permet de mettre en oeuvre une attaque Brute force. La capture ci-dessous est une attaque de serveur FTP (Sans protection applicative).

Il aura fallut quelques minutes pour effectuer plus de 300 essais avant connexion réussie au service FTP. Aucune notification d’attaques n’a été détecté par la Bitdefender Box 2. On constate que le serveur Filezilla (sans la protection applicative) a bien reçu toutes les attaques de connexions depuis l’IP sortante du VPN en place. Dans le cadre vert, on peut comprendre qu’aucune protection n’a bloquer les multiples tentatives et que le dictionnaire de mot de passe a permis l’authentification.

Le même exercice a été exécuté sur le service SSH de la même machine sans aucun blocage de l’attaque.

Pour information : Mon IPS Suricata était en mode IDS le temps de l’opération. Ce qui se traduit par de la détection uniquement sans bloquer les attaques. Suricata 4.0.4 a détecté sans difficulté les attaques (sans les bloquer en IDS et en les bloquant en mode IPS).

Remarque : Le test a été effectué sur une Bitdefender Box 2 avec le firmware 2.1.16.14

Évaluation : Protection très utile si l’on expose un port applicatif à l’extérieur de la BB2. Cependant au moment de mes tests, la protection n’était absolument fonctionnelle. Ce qui semble très étrange est que ce même test a été effectué peu avant par le journal 01net dans l’article « Test : Bitdefender Box 2, un bouclier pour votre réseau domestique« , et qu’il met en avant un test brute force bloqué sur FTP derrière la BB2.

Personnellement, que cela soit en en mode clair FTP, HTTP ou en mode chiffré SSH ou FTPS, je passe mes assauts sans être détecté par la BB2. J’ai donc le sentiment qu’une régression est présente pour ce firmware. J’attends donc une mise à jour du firmware pour ré-exécuter la même attaque.

Dans la mesure où cette fonction apporte vraiment de la valeur à la BB2 pour les « utilisateurs avancés » en raison de l’usage du renvoi de ports (NAT), j’espère que ce dysfonctionnement sera rapidement corrigé pour redevenir fonctionnelle ainsi que pour les communications sécurisées comme TLS/SSL. Je garde à l’esprit que ce produit a du subir une accélération de développement pour être présent au CES 2018. Cela sous-entend quelques ajustements dans les mois qui suivent… Un ticket a été créé auprès du support Bitdefender pour lequel aucune réponse ne m’a été apporté pour l’instant (8 mai 2018).

Evolution sur mise à jour du firmware :

La mise à jour permet de retrouver la protection sur les protocoles non-sécurisés, mais toujours pas sur ceux sécurisés. Dommage car c’est bien là que la box est attendue. Nous aurons probablement des évolutions dans le futur…

5.2.7. Le contrôle parental

La BitDefender Box 2 est livrée avec une application de contrôle parental, un outil pour les parents qui veulent s’assurer que leurs enfants seront en sécurité même quand ils sortent de chez eux. En plus des fonctionnalités existantes (ensemble de polices/règles) comme le contrôle de navigation, la gestion du temps d’écran ou d’accès internet et la géolocalisation, une nouvelle fonction verra le jour bientôt pour se protéger du cyber-harcèlement (Intimidation).

Il semble donc très pertinent de disposer de ce genre de dispositif pour nos bambins. Cette ensemble de fonctionnalités n’est pas lié à la Box et pourrait-être acquis indépendamment. Par contre, la possibilité de déployer et paramétrer les protections depuis la BitDefender Box 2 (gestion centralisée) est un avantage très intéressant. Sachant que l’offre d’abonnement couvre de manière illimitée le nombre d’appareils, ce service sera très apprécié et efficient dans le cas de famille nombreuse.

Les stratégies du contrôle parental s’appliquent à un profil utilisateur et non pas à un terminal. L’appareil lui est associé au profil. Il fait donc comprendre ce que l’on souhaite faire pour bien utiliser l’application. Les fonctions du contrôle parental sont :

• Limiter l’usage d’applications
• Limiter le temps cumulé d’accès
• Limiter les horaires d’accès
• Limiter l’accès au site web
• Géolocalisation et périmètres

Évaluation : Je suis plutôt charmé par l’intégration de toutes les technologies nécessaire à ce contrôle parental avec les fonctions sus-citées. En effet, pour faire moi-même un peu moins que cette BB2, j’ai du déployer beaucoup de dispositifs dans l’infrastructure numérique de mon domicile. C’est vraiment un point positif de mon point de vue.

6. Un peu de rétro-ingénierie

6.1. Communication avec le cloud Bitdefender

Afin de comprendre les relations de communications de la Bitdefender Box 2 avec le cloud du fabricant, nous allons mettre en place une capture de trames distante « tcpdump » sur l’interface du routeur amont de la BB2. Pré-requis :  La BB2 n’a pas de client connecté sur l’interface interne (172.24.1.0/24) afin de ne pas mélanger les trames de communications des clients avec les trames de communications de la BB2 seule. La capture sera déjà active au moment de la mise sous tension de la BB2 pour capture toute la phase de démarrage.

Pour bien comprendre : [BB2 (Interface internet : eth0)] > [mon routeur amont (Interface interne : eth2)]

Méthode : Nous allons mettre en place une capture Wireshark distante (Remote Wireshark) en utilisant l’utilitaire « plink » sous Windows, et en interceptant les trames sur l’interface externe de la BB2 qui se trouve directement sur l’interface eth2 du routeur amont (redirection de la sortie de console routeur vers Wireshark sur un ordinateur).

plink -batch -l user -pw password -P 22 192.168.52.1 sudo tcpdump -i eth2 -w - | "c:\Program Files\Wireshark\Wireshark.exe" -k -i -

Le résultat des 5 premières minutes

Globalement, un ensemble de serveurs avec différents rôles, contribuent aux échanges fonctionnels de l’architecture Bitdefender. Les protocoles utilisés sont essentiellement ICMP, ARP, TLS, HTTP, DNS, DHCP … Mais seuls HTTP et HTTPS sont en communication périodique avec des serveurs de mise à jour, de gestion MDM (…) portés sur une architecture « Amazon Elastic Compute Cloud » (EC2/AWS) avec un cluster de grappes ELB (Amazon’s Elastic Load Balancer) pour chaque zone géographique. Le nombre de requêtes DNS permet de voir un nombre impressionnants d’hôtes de destination de cette infrastructure mondiale.

6.2. Le système embarqué

Pour aller plus loin, j’ai mis place un Man-In-The-Middle [Ponté ethernet/Bridgé] avec MITMProxy afin d’intercepter les trames HTTP et TLS (HttpSSL) et d’en savoir un peu plus. Bingo on peut en apprendre pas mal…

Lors de ce test aucun appareil n’a été connecté (volontairement) au réseau protégé de la Bitdefender Box 2. Ainsi, seul le trafic de la BB2 lui-même a pu être isolé. La capture comme avec Wireshark a été lancée avant de démarrer la BB2. Ainsi, j’ai pu capturer quelques requêtes internet dès le boot de la box.

Je ne souhaite pas dévoiler trop d’informations à ce sujet pour préserver la société Bitdefender. Mais par exemple l’analyse des requêtes d’Upgrade est un sujet intéressant permettant de mieux comprendre la plateforme Linux exploitée. Par exemple, il semblerait que le Linux ne fonctionne pas avec la Librairie contrôleur (GLibC/lib6) mais µClibc qui est une alternative orientée « OS embarqué » afin principalement de préserver les ressources locales de la box. 4 Go de Flashrom (eMMC) sont en effet pas énorme pour déployer l’ensemble des fonctions de cette solution.

En suivant les informations collectées par le proxy d’interception, on peut découvrir une URL appelant un fichier de versions faisant état d’une liste de fichiers « modules » et leur version. En faisant quelques recherches ils semblerait par exemple que le fichier « nanny.conf » puisse être un fichier de configuration du très vieux logiciel de contrôle parental « Nanny [ lien1, lien 2 ] ». Le script create_chain.sh pourrait lui être utile à la gestion de certificats MDM comme dans la solution Gravity Zone.

Le fichier libEcNet.so est lui probablement une dépendance en relation avec les 68 moteurs Anti-malwares (Engines) de HerdProtect.

Mon propos n’étant pas la rétro-conception du système, je ne m’amuserais pas à analyse tous les flux HTTP et TLS de la BB2. Vous en savez déjà bien plus qu’au travers des articles existant à ce jour, et je trouve cela déjà pas mal.

6.3 Non pas d’UPNP

Le protocole UPNP est identifié comme une faille dont l’exploitation pourrait permettre un Hijacking depuis l’intérieur. En effet, j’ai détecté l’empreinte du système et son noyau Linux avec une bête commande « nmap », en raison d’une fuite d’information due au protocole SSDP et du package MiniUPnP (une séquence p0f en détection passive sur le protocole HTTPS/443 pourrait aussi me donner bien d’autres informations et signatures applicatives plus précises). J’ai rapidement déterminé que ce protocole était utilisé durant les phases d’installations de la box et peut-être plus, pour permettre un échange local entre l’application mobile et la Box.

J’ai lors de mes échanges avec Bitdefender France évoqué cette problématique à corriger. A ce sujet Bitdefender répond qu’il garderont l’api SSDP pour la communication locale, mais que l’empreinte applicative UPNP serait offusqué à l’avenir.

7. Evaluations des bonnes pratiques

Comme annoncé en début d’article nous allons vérifier les points évoqués dans l’article Maisons connectées et Cybersecurité afin de déterminer si le spectre des menaces est couvert par un dispositif sécurisé.

Ce tableau démontre l’adéquation entre les bonnes pratiques et leur mise en oeuvre. Le produit peut donc répondre à 72% des besoins en cyber-sécurité résidentielle. Ce qui fait de ce produit un dispositif très adapté en situation « grand public », et donc sans compétences particulières pour les mettre en oeuvre.

La charge d’exploitation financière ne fait pas partie des critères d’évaluation selon les bonnes pratiques, mais il faut parallèlement considérer cet aspect non négligeable. L’abonnement à la suite Total Security 2018 est proposé dans l’offre de manière illimitée en terme de nombre de plateformes (MacOS, iOS, Androïd, Windows) pendant une année seulement. L’année suivante il faudra débourser 90€ par an afin de maintenir le niveau de mise à jour des menaces, comme les signatures anti-virales et anti-malwares… Cet abonnement comprend l’ensemble logiciel suivant :

App mobile (Androïd & iOS)

• Bitdefender Central
• Bitdefender Mobile Security
• Bitdefender Parental Advisor

App MacOs et Windows (Pas Linux)

• Suite « Total Security 2018 »

Il faut relativiser le coût en se projetant dans une famille type constituée de 2 parents et deux enfants. Partant de l’hypothèse que cette famille aura 5 appareils connectés à internet et par exemple 2 objets connectées :

• 1 ordinateur
• 1 tablette
• 3 smartphones
• 2 objets connectées

Nous obtenons un parc de 7 appareils connectés. Chaque appareils aura une charge annuelle de 12,86€ par an (un peu plus d’1€ par/mois/nœud). C’est une valeur symbolique de référence qu’il faut garder à l’esprit. En dessous de 7 appareils à gérer cela semble onéreux, et au-dessus cela devient de plus en plus acceptable.

La performance WiFi n’est pas non plus un critère de bonnes pratiques mais impacte tout de même l’appréciation globale du produit.

8. Conclusions

A la question « Connaissez-vous un dispositif prenant en considération les menaces évoquées dans article Maisons connectées et Cybersecurité ? Je répondrais : Presque !

7.1. Pour un newbie

Le produit (matériel + logiciels) rassemble l’essentiel utile à protéger les appareils et les utilisateurs d’eux-même, et cela fait de la solution, un dispositif très avancé et pertinent pour une grande partie des problématiques de sécurité numérique. L’avenir nous promet une recrudescence des attaques et des menaces numériques, que cela soit avec cette solutions ou une autre équivalente, je préconise aux personnes ayant plus de dix appareils connectés de réfléchir rapidement à cette problématique.

Si vous avez de jeunes enfants vous aurez quatre fonctions essentiels en plus de toutes celles de l’offre.

• Gestion des horaires d’accès et temps journalier maximum (Quotas)
• Gestion du retour à la maison avec la géolocalisation.
• Gestion du contenu de navigation (Sites adultes, warrez, Instant messaging …)
• Fonctions anti-vol.

Certes il existe des solutions logicielles orientées enfants uniquement et je ne citerais que Qustodio que j’ai utilisé pendant un an et qui se trouve être une excellente solution pour le contrôle parental uniquement.

Au sujet de la performance WiFi, il faut tout de même relativiser. En effet, si l’on est pas dans la pièce où rayonne la borne toutes ces nouvelles technologie WiFi AC Wave1, Wave2 et Mimo « pouette pouette » me font bien rigoler car négocier et accrocher une connexion à 65, 144, 200, 400 MBits/s et plus (A,B,G,N et AC) est seulement révélateur du potentiel, et aucunement de la bande passante réelle. J’arrive aisément à faire du 20 Mbits/s (iperf) sur une négociation 802.11a à plus de 100 mètres de l’antenne 15dBi de gain. Il faut intégrer aussi que toutes c’est technologies MiMo SU ou MU et beam-truc sont des arguments commerciaux que les clients ne comprennent pas souvent. C’est beau sur le papier avec 3 clients connectés sur la borne. Quant on voit que la 4G nous offre plus que le WiFi bien souvent bridé par la connexion internet, je me demande si Wifi est encore pertinent.

Les performances des terminaux dégringolent :

Tous mes ordinateurs datent de 10-12 ans sauf pour les mini-PC. Ce qui fait que la suite Total Security 2018 a un impact non négligeable sur les performances de ces machines. Oui je suis informaticien et donc j’emmène mes machines le plus loin possible dans le temps, et je peux facilement rationaliser les usages.
Par contre un utilisateurs lambda ne pourra pas emmener ces machines aussi loin dans le temps, et le vieillissement système (mise à jour) aura raison des capacités initiales de la machine. Il faut donc garder à l’esprit que cette suite est très gourmande en ressources locales et en bande passante.

Il y a de mon point de vue un réel bénéfice pour « Monsieur tout le monde » d’utiliser une solution comme la Bitdefender Box 2 sur un environnement matériel récent.

7.2. Pour un nerd

Pour moi ce produit est un UTM [Unified Threat Management] (Gestion Unifiée des menaces) en version Grand Public. En effet, on retrouve dans cette approche Bitdefender l’intégralité des besoins utiles à la Cyber-sécurité résidentielle dans une offre unifiée  (matériel + logiciels).

Le produit est encore trop neuf et nécessite beaucoup d’optimisation et de développement. Au vu de mes exigences personnelles et parce que je suis assez bien équipé et compétent pour gérer moi-même la sécurité numérique de mon domicile, je ne conseillerais pas ce dispositif aux personnes très technique en informatique et particulièrement en cyber-sécurité. De plus, il y a trop de nébulosité concertant la répartitions des fonctions entre la BB2 et les logiciels déployés.

Les point les plus bloquant pour un utilisateur averti sont :

• Pas de segmentation possible (zoning/cloisonnement/vlan) derrière cette box.
• Pas suffisamment d’éléments de configuration et de finesse technique.
• J’aurais aimé pouvoir désactiver le Wifi de la box afin d’utiliser le mode bridge ethernet uniquement (Gigabit passthrough).
• J’aurais aimé pouvoir choisir les canaux WiFi, car ayant à plusieurs reprises redémarrer la box j’ai pu constater que sa capacité à choisir son canal en mode automatique était assez mauvaise. Pour ma part, je préfère fixer moi-même le chevauchement des canaux.

Je réserverais cette box à deux usages particuliers pour les Nerds :

• Dédié cette BB2 aux usages enfants si vous n’avez pas de borne évoluée permettant la segmentation SSID/VLAN, et que vous ne voulez pas unifier votre réseau sans fil (roaming). De plus, les appareils pouvant utiliser la suite logiciels Total Security 2018 fonctionne aussi hors du réseau de la BB2. Donc vous pouvez exploiter un maximum de licence dés lors que le déploiement est effectué depuis Bitdefender Central.
• Dédié cette BB2 à la mise en quarantaine des objets connectées récemment achetés (bac à sable), afin dévaluer l’intégrité de ces derniers avant bascule sur votre réseau principal.

J’espère que vous aurez pu lire cette article jusqu’au bout.

Webographie complémentaire

Voici quelques liens permettant d’explorer le sujet plus avant :

• CES 2018 : Bitdefender dévoile sa Box 2 et noue un partenariat avec Netgear [lemondenumerique]
• Test de la Bitdefender BOX 2 [generation-nt]
• CES 2018 : Bitdefender BOX 2, la solution complète de cybersécurité pour la maison connectée [undernews]
• Bitdefender Box (2018) Review Flexible Protection [tomsguide]
• Test : Bitdefender Box 2, un bouclier pour votre réseau domestique [01net]
• CES 2017 : Norton Core, un routeur sécurisé pour protéger tous les objets connectés de la maison [01net]
• Bitdefender BOX 2 : notre test du routeur pour sécuriser la maison connectée [objeko]
• Bitdefender BOX2 vs Norton Core vs CUJO AI [cybersec24]
• Test de la Bitdefender Box 2 (+ concours) [antoineguilbert]

The post Bitdefender Box 2 – Cyber-sécurité résidentielle appeared first on Domotique Info.