La sécurité au-delà des mythes
Dossier par David Newman, adaptation D.B., 250 mots
Parler de Huawei et de sécurité est toujours problématique, surtout de la part des américains. Nos confrères de Network World ont tenté l'expérience.
Il y a beaucoup de mythes au sujet de la sécurité de Huawei, avec des accusations sur de prétendues backdoors, mais aucune preuve concrète pour étayer de telles allégations. Cet article ne va pas ajouter à la mythologie : nos tests de sécurité et de surveillance n'ont pas trouvé de vulnérabilités.
Nous avons évalué la sécurité des commutateurs Huawei de trois manières. Tout d'abord, nous avons effectué un test " fuzzing " (test à données aléatoires) du protocole SSH du commutateur en utilisant un analyseur de sécurité Mu- 8010 de Spirent. Avec le test fuzzing SSH, l'outil de test effectue une itération sur chaque champ dans les en-têtes du protocole SSH, générant des valeurs fictives dans chaque domaine.
Nous avons établi des vérifications supplémentaires afin de déterminer si les attaques de fuzzing SSH allaient interrompre d'autres contrôles et d'autres opérations de plan de données. Parallèlement à l'essai fuzzing, nous avons généré environ 30 requêtes SNMP par seconde, et offert simultanément le trafic à 10 pour cent du taux de la ligne à 50 ports (deux 10 - Gigabit Ethernet et 48 Gigabit Ethernet).
Alors que le test initial est apparu pour trouver des centaines de questions, aucune d'entre elles ne représente d'exploit. Chaque anomalie constatée par l'analyseur signifiait simplement que le SSH était trop occupé au traitement des tâches existantes pour traiter une nouvelle demande. En aucun cas, une attaque fuzzing n'a réussi dans appareil contaminé.