L’industrie de la sécurité a un nouveau mantra : « Pourquoi pirater un serveur quand vous pouvez en prendre le contrôle au niveau du BIOS, offert sur un plateau par le fabricant lui-même ? » C’est la question rhétorique que posent les dernières découvertes de l’équipe de Bishop Fox. Quatre fabricants majeurs de KVM-IP – ATEN, Raritan, Adder et Black Box – ont livré pendant des années des équipements bourrés de failles permettant un accès racine à distance. La négligence est si systémique qu’elle en devient suspecte.
Le BIOS en ligne, ou l'art de rendre le pire inévitable
Un KVM-IP (Keyboard, Video, Mouse over IP) est supposé être l'outil de dernier recours pour l'admin système, un accès physique émulé. Sauf que chez ces quatre-là, c'est devenu la porte de service grande ouverte. Authentification bypass, firmware non signé, backdoors par défaut, communications non chiffrées – la liste des CVEs ressemble à un catalogue des bonnes pratiques à ne surtout pas suivre. Le plus beau ? Beaucoup de ces appareils sont directement connectés à internet, indexés par Shodan, attendant patiemment leur attaquant.
La chaîne d'approvisionnement de l'incompétence
On ne parle pas de start-ups bidons, mais d'acteurs établis. Leur défense commune ? Pointer du doigt une « mauvaise configuration » client. Un argument qui ne tient pas une seconde face à des vulnérabilités implémentées dans le code usine. L'argent a coulé à flots pour des boîtiers qui, en réalité, abaissaient la sécurité globale du datacenter au lieu de la renforcer. Qui est responsable ? Les fabricants qui ont vendu du vent sécurisé, ou les équipes IT qui ont cru à la fable ? La réponse est : les deux.
Le syndrome du « ça passe en prod »
Le rapport met en lumière un phénomène plus large : la sécurité hardware est le parent pauvre des audits. On scanne les ports, on patche les OS, mais qui reverse-engineer le firmware du petit boîtier réseau dans le rack ? Personne. Ces KVM sont devenus des chevaux de Troie légitimés, installés avec confiance dans les infrastructures les plus sensibles. La prochaine grande fuite de données ne viendra peut-être pas d'un zero-day sophistiqué, mais de l'exploitation d'une faille connue depuis 2018 dans un firmware ATEN jamais mis à jour.
Conclusion : désinstaller, puis facturer
La recommandation des chercheurs est limpide : isoler ces appareils derrière des VPN robustes ou, mieux, les retirer purement et simplement. La vraie question est celle de la responsabilité. Les fabricants doivent être tenus comptables de la merde qu'ils vendent comme « sécurisée ». Les équipes sécurité doivent arrêter de faire une confiance aveugle à tout ce qui a une marque et un manuel. Dans un monde idéal, ces boîtiers finiraient dans une décharge, et la facture de leur remplacement serait envoyée aux sièges sociaux de ATEN, Raritan, Adder et Black Box. On peut rêver.