Le switch Ethernet & la cybersécurité

La cybersécurité dans les transports publics, un simple effet de mode ?

Nous n’en sommes pas encore là, mais nous sommes sur le point d’y arriver : le terme de cybersécurité commence à devenir hype dans le secteur des transports publics et à suivre ainsi des mots à la mode tels que smart, intelligence artificielle, IoT et industrie 4.0.

Il est incontestablement juste de se préoccuper des questions de protection des données, d’intégrité des données et de disponibilité des services et de développer des mécanismes pour tenir les personnes non autorisées à distance. Pour ce faire, il convient tout d’abord de procéder à une analyse des risques, des scénarios et des motivations d’une cyberattaque ainsi que des points faibles potentiels. De là découlent des mesures et des règles dont l’efficacité dépend de la manière dont elles sont mises en œuvre dans l’architecture et l’intégration du système, mais aussi dans l’exploitation opérationnelle quotidienne.

La vulnérabilité dans l’informatique n’est pas le composant matériel lui-même.

La vulnérabilité dans l’informatique n’est pas le composant matériel lui-même. Un exemple qui illustre cela est la cyber-attaque contre Uber en septembre 2022, où la compromission a eu lieu grâce à un compte utilisateur valide et aux données d’accès d’un employé.

Une question telle que « Le commutateur Ethernet contribue-t-il à la cybersécurité » n’est donc pas pertinente. Comme on peut facilement le constater, la cybersécurité n’est pas une caractéristique d’un seul composant. Cela vaut même si un appareil répond aux exigences de la norme CEI 62443 ou si le fabricant peut présenter un certificat pour un composant selon la norme CEI 62443-4-2 ou ISO 21343.

Un composant seul ne peut pas garantir une protection suffisante. De toute façon, on peut se demander si les normes mentionnées s’appliquent aux systèmes d’information et de comptage des passagers, aux valideurs ou à la vidéosurveillance dans les transports publics. Mais l’engouement pour le terme de cybersécurité pousse les acteurs du marché à consommer bêtement ces normes.

>> Lire aussi : Cybersécurité dans les réseaux de transport public

C’est la technique qui compte

Il n’y a pas d’autre solution que de faire appel à un architecte système pour évaluer les composants sur le plan technique. C’est la seule façon de définir des mesures de protection efficaces. L’analyse se fait de haut en bas – de la couche d’application et de système vers le niveau des composants. Pour les composants, il s’agit d’évaluer d’un point de vue technique dans quelle mesure ils représentent un point faible pour le scénario d’attaque envisagé et comment ils peuvent contribuer à la cyberprotection grâce à leurs fonctions.

Personne ne peut mieux expliquer le savoir-faire technique relatif au composant et à sa technologie que le fabricant lui-même. C’est pourquoi les responsables de la cyberprotection devraient toujours commencer par poser cette seule question aux fabricants de composants : « Quel est le fonctionnement de l’appareil ? »

Avec cet article, nous abordons précisément cette question et expliquons l’architecture de base d’un switch Ethernet. Nous considérons le switch Ethernet comme un appareil autonome qui établit la communication au layer 2 dans le réseau IP local, comme c’est typiquement le cas dans les bus de ligne ou les trams.

L’architecture d’un switch Ethernet

Fonction primaire

Le switch Ethernet représente un nœud dans un réseau local (LAN). Sa fonction primaire est de relier les participants à un réseau au niveau physique (couche 1) et de permettre l’adressage de chaque participant au niveau logique (layer 2).

Switching Engine (moteur de commutation)

La pièce maîtresse est le moteur de commutation. Il comprend une unité de contrôle de la file d’attente ainsi que des tampons entrants (ingress) et sortants (egress). La commutation des données proprement dite s’effectue entièrement dans le matériel. Ainsi, la commutation des données est possible avec un temps de latence très faible (de l’ordre de la µs).

Adressage

L’adressage dans un commutateur de couche 2 est basé sur les adresses MAC. Chaque participant a une adresse MAC unique au monde (par exemple FC:FA:B7:01:02:03). La communication s’effectue par paquets de données (frames). Chaque paquet de données contient une adresse MAC de destinataire (DA) et une adresse MAC d’expéditeur (SA). L’unité de contrôle de la file d’attente utilise l’adresse DA pour décider à quel port le paquet de données entrant doit être dirigé. Les adresses sont enregistrées à cet effet dans une table MAC. La mise à jour de la table MAC s’effectue automatiquement, l’unité de contrôle de file d’attente enregistrant l’affectation du port et de l’adresse MAC de l’expéditeur (SA).

Policy

Un switch Ethernet administrable offre la possibilité d’effectuer des réglages (policy) pour les buffers entrants ou sortants. Le réglage de la politique permet en outre d’utiliser des filtres qui sont utilisés pour le transfert ou le traitement ultérieur conditionnel des paquets. Cela permet de prendre en charge le VLAN et le Spanning Tree (STP/RSTP) ou les options DHCP.
La policy est définie au moyen d’une interface de contrôle. En général, il s’agit de l’interface de gestion. Ce réglage est généralement appelé configuration du switch. Les services de gestion sont des programmes logiciels qui fonctionnent dans un système d’exploitation embarqué (Management OS).

Administration

En règle générale, un switch Ethernet administrable offre au moins deux interfaces pour l’administration : un port de service local, qui n’est pas compatible avec le réseau et qui est souvent un port USB ou série ; et un protocole compatible avec le réseau, qui permet d’accéder aux services de gestion via le réseau. Vers l’extérieur, cette interface se comporte comme un abonné ordinaire et est adressable sur le réseau via IP. Un port spécial, le port de gestion interne, est mis à disposition à cet effet dans le moteur de commutation.

Le port de gestion peut traiter aussi bien des paquets ordinaires que des trames de gestion. Les trames de gestion sont marquées comme telles et sont toujours dirigées du Queue Control vers le port de gestion. C’est là que la logique, c’est-à-dire le logiciel ou le service, décide de la manière dont ces trames doivent être traitées. Ces services sont accessibles sur le réseau via une adresse IP et appartiennent aux layers 4 à 7. Celui qui a un accès aux services de gestion a également le contrôle sur l’appareil.

Le switch Ethernet n’est pas un firewall

Un switch Ethernet de layer 2 transmet les données des participants sans analyser le contenu des trames ou les données utiles proprement dites. Comme on peut facilement le voir sur la représentation de l’architecture, la commutation s’effectue exclusivement à un niveau matériel dans ce que l’on appelle un ASIC (Application Specific Integrated Circuit).

Faute de puissance de calcul, le logiciel de gestion dans le switch Ethernet de layer 2 ne peut pas traiter simultanément les trames Ethernet à transmettre entre les participants à la vitesse nécessaire pour qu’une application utile puisse en résulter. Le débit de la commutation de données est drastiquement réduit dès que le logiciel de gestion intervient dans le traitement des paquets. Pour cette raison, l’inspection des paquets dans le commutateur Ethernet de layer 2 n’est pas utile. Cela vaut également pour le cryptage au layer 3 (IPsec) et pour tout mécanisme de pare-feu côté logiciel.

Mise à jour du logiciel et sécurité

Lors d’une mise à jour logicielle d’un switch Ethernet de layer 2, le logiciel de gestion est renouvelé. En règle générale, l’image complète est remplacée. L’intégration de services étrangers dans l’image n’est guère praticable de l’extérieur, les services ne peuvent être intégrés que par le fabricant. Les mises à jour des fonctions ASIC ne sont techniquement pas possibles dans ce contexte.

Conclusion : quel est le rapport entre le switch Ethernet et la cybersécurité dans le réseau ?

Les caractéristiques techniques d’un switch Ethernet parlent d’elles-mêmes : un switch de niveau 2 transmet des données à l’aide d’adresses MAC ; les switches administrables offrent également des services aux niveaux supérieurs. Le commutateur n’est pas conçu pour l’inspection des paquets et ne peut donc pas assumer de tâches de pare-feu. Au niveau du logiciel, les mises à jour ne présentent aucun risque, car l’image entière est remplacée de manière contrôlée. Lorsqu’il s’agit de cybersécurité dans le réseau IP, l’attention doit être portée en premier lieu sur le système et en second lieu sur les motifs d’attaque et les scénarios possibles. Ce n’est qu’ensuite que les différents participants au réseau peuvent être examinés à la loupe.