La sécurité des box ADSL. Analyse de risques et expérimentations

National audienceMany French Internet providers include an ADSL box in their offers allowing the customer to easily take advantage of all the services included in the offer. This equipment drastically reduces the technical skills required to install the Internet connection at home. But, to our knowledge, very few studies propose to evaluate the security of these ADSL boxes. This is the purpose of this paper. This paper presents 1) a risk analysis of such equipment, following the EBIOS methodology, and 2) experiments aiming to illustrate the existence of an attack Ingénierie des systèmes d'informationLa majorité des abonnements à Internet proposés par les fournisseurs français incluent une box permettant à l'utilisateur de bénéficier pleinement de tous les services proposés dans leur offre. L'utilisation de cet équipement réduit considérablement les connais-sances techniques nécessaires à l'installation d'Internet au domicile. À notre connaissance, relativement peu d'études ont analysé la sécurité de ces box ADSL. Cet article présente 1) une analyse des risques de ce type d'équipement, conduite à l'aide de la méthode EBIOS et 2) des expérimentations visant à mettre en oeuvre un scénario d'attaque correspondant à un des risques identifiés lors de la phase d'analyse. La première partie de cet article décrit l'analyse de risques, et identifie un scénario d'attaque qui nous mène à étudier la boucle locale. La deuxième partie de l'article met en oeuvre cette attaque, en proposant une plateforme permettant d'intercepter et d'analyser tous les protocoles réseaux mis en oeuvre lors du démarrage d'une box ADSL. Cette plateforme a mis en évidence un problème de sécurité potentiel pour deux box parmi celles étudiées. Nous présentons ensuite une expérimentation illustrant une exploitation concrète des faiblesses identifiées