Disponible depuis mi-mars, Bitdefender Box 2 est un boîtier de sécurité qui, grâce à ses fonctions d’analyse réseau, est capable de protéger tous les terminaux de la maison : ordinateurs, smartphones, objets connectés. Cet appareil est le successeur de Bitdefender Box que nous avions testé en juillet dernier et qui ne nous avait pas vraiment convaincus : les fonctionnalités étaient relativement pauvres et peu abouties.
L’éditeur persiste et signe avec une seconde mouture beaucoup plus musclée, d’abord au niveau matériel. La première version se contentait d’un processeur single core, de 64 Mo de mémoire DDR2 et de 16 Mo de stockage. La nouvelle version dispose désormais d’un processeur dual core, d’un Go de mémoire DDR3 et de 4 Go de stockage Flash. Ces composants nécessitent plus de refroidissement, c’est pourquoi la carte mère est placée dans un boitier nettement plus grand, et donc plus aéré.
Cette mise à niveau matérielle permet à Bitdefender d’améliorer l’analyse de vulnérabilités et d’implémenter toute une série de nouvelles fonctions de sécurité : prévention contre l’exploitation de vulnérabilités, protection contre les attaques par force brute, détection des anomalies, protection des données sensibles et contrôle parental avancé (disponible seulement début 2019). Sur le papier, Bitdefender Box 2 se présente donc comme un véritable bouclier contre le piratage, un peu comme les systèmes de détection et de prévention d’intrusion (IDS/IPS) que l’on trouve dans les entreprises. Alors qu’en est-il vraiment ?
L’installation du boîtier ne pose aucun problème. Il suffit de le connecter au modem-routeur, de télécharger l’application mobile Bitdefender Central et de suivre les indications. Dans le cas d’une box Internet – ce qui est le plus fréquent – Bitdefender Box 2 va cloner le réseau Wi-Fi d’origine qu’il faudra ensuite désactiver. Mais rien ne vous empêche de créer un nouveau réseau Wi-Fi, en définissant un nouveau SSID, et de préserver l’ancien. Ce dernier, moins sécurisé que le nouveau, pourrait alors servir de hotspot pour les invités par exemple.
Une fois l’installation terminée, l’appareil va automatiquement recenser les terminaux connectés et, si c’est possible, proposer d’y installer un logiciel de sécurité de l’éditeur. L’achat de Bitdefender Box 2 inclut en effet un abonnement d’un an à l’offre Total Security. Celle-ci donne accès à la totalité de la gamme Bitdefender pour un nombre illimité de terminaux : ordinateurs fixes, ordinateurs portables, tablettes, smartphones.
L’éditeur a abandonné le développement de Box Agent, un logiciel sans interface graphique que l’on pouvait installer sur les smartphones, les tablettes et les ordinateurs. Il était censé apporter des fonctionnalités de gestion avancées sans nécessiter l’installation de la suite Bitdefender. Mais dans les faits, cela ne fonctionnait pas très bien. L’éditeur simplifie donc les choses, ce qui est très bien.
Tout se gère ensuite depuis l’application Bitdefender Central. Comme avant, l’utilisateur pourra nommer les terminaux et les affecter à des utilisateurs. On retrouve également la fonction de blocage de l’accès Internet qui, cette fois-ci, fonctionne vraiment. L’arrêt ou le rétablissement de la connexion est quasi-immédiate. De plus, il est désormais possible de définir une adresse IP fixe et un transfert de port pour chaque terminal connecté. Pour certains usages, comme l’accès distant en FTP, c’est fort pratique.
Venons-en aux fonctions de sécurité. La première bonne nouvelle se situe au niveau du scan de vulnérabilités. Auparavant, cette fonction était activée de manière automatique avec une analyse réalisée de manière aléatoire dans le cloud de Bitdefender. Le problème, c’est qu’elle ne détectait pas grand-chose. Désormais l’analyse des vulnérabilités est réalisée directement sur l’appareil et on peut la démarrer à n’importe quel moment pour n’importe quel terminal. Nous l’avons testé avec un NAS de Western Digital (MyBook) dont nous savions que c’était un vrai gruyère. Bingo ! Bitdefender Box 2 y a détecté 48 failles. L’appli mobile alerte l’utilisateur et lui conseille de mettre à jour le terminal.
Seul bémol, la liste de failles présentée à l’utilisateur n’indique généralement que la typologie de la faille : « corruption de la mémoire », « déni de service », « exécution de code arbitraire », « violation d’accès », etc. On ne sait pas précisément où se situe la faille. Dans le cas d’une « procédure d’authentification non sécurisée », le système nous informe tout au plus que l’appareil accepte des identifiants non chiffrés via HTTP. Testé sur un boitier multimédia OSMC sur Raspberry Pi, le scan de vulnérabilités nous a alerté sur un nom d’utilisateur ou un mot de passe « peu sûr », sans nous préciser qu’il s’agissait d’un accès FTP anonyme. C’est bien, mais certains utilisateurs aimeraient peut-être avoir plus de détails.
La protection des données sensibles a pour but de prévenir l’envoi en clair de mots de passe, de numéros de cartes bancaires, de données de géolocalisation, etc. Et ça marche ! Bitdefender Box 2 nous a alertés sur l’application mobile d’un club sport qui envoyait, depuis l’iPhone, les identifiants de connexion simplement par HTTP. C’est une information bien utile car il n’y a pas d’autre moyen simple pour le savoir. L’utilisateur peut alors agir en conséquence et, par exemple, désinstaller l’application.
La protection contre les attaques par force brute fonctionne également, mais uniquement sur les protocoles non chiffrés. Pour rappel, de telles attaques ont pour but de casser un mot de passe en essayant un maximum de combinaisons possibles. Un exemple célèbre est le ver Mirai qui a infecté un grand nombre d’appareils, armé seulement d’une liste de mots de passe.
Pour tester cette fonctionnalité, nous avons activé sur notre boîtier multimédia des accès distants FTP, FTPS et SSH. Puis nous avons lancé depuis Internet des attaques par force brute à l’aide du logiciel Hydra et d’une liste d’une vingtaine d’identifiants et de mots de passe (dont celui de l’appareil). Résultat : l’attaque sur FTP a été stoppée, mais pas celles sur FTPS ou SSH. Selon le fournisseur, cela s’explique par le fait que l’appareil n’est pas capable de déchiffrer les flux. « Dans le cadre de notre feuille de route de recherche, nous cherchons des moyens d’améliorer le moteur de protection contre les forces brutes afin qu’il traite également les connexions chiffrées », nous précise Bitdefender.
Ci-dessous les attaques respectives sur FTP, FTPS et SSH, ainsi que l’alerte reçue sur Bitdefender Central.
Dans le cas où un malware arrive quand même à infecter un appareil, Bitdefender Box 2 devrait être capable de détecter ses agissements grâce à sa fonction de détection d’anomalies. Nous avons testé deux cas emblématiques : l’enrôlement de l’appareil dans des attaques DDoS et l’utilisation d’une porte dérobée pour l’espionnage.
Pour le premier cas, nous avons utilisé le logiciel Metasploit pour lancer, depuis un PC du réseau Wi-Fi, une attaque « Synflood » vers un site web externe de test (ce qui consiste à envoyer en permanence des requêtes SYN par TCP). Résultat : Bitdefender Box 2 a interrompu le flux au bout de quelques secondes. Une nouvelle règle de filtrage a visiblement été créée car l’appareil source de l’attaque ne pouvait plus du tout accéder au site web ciblé.
Ci-dessous l’alerte reçue sur Bitdefender Central, l’attaque exécutée depuis le PC et le trafic reçu sur le serveur cible :
Pour simuler une porte dérobée, nous avons utilisé le logiciel Ncat qui permet de créer des connexions réseau entre appareils. Nous l’avons démarré en mode écoute sur un serveur externe. Puis nous avons tenté d’établir une connexion depuis l’appareil « victime » en donnant la possibilité au serveur d’y exécuter des commandes shell. Malheureusement, Bitdefender Box 2 n’a rien détecté d’anormal. Pour autant, cela ne veut pas dire que l’appareil est complètement dans les choux. L’éditeur, en effet, nous a précisé que « le moteur de détection d’anomalies doit d’abord établir une base de référence. Il a besoin de voir l’appareil fonctionner pendant environ 2 semaines pour apprendre à quoi ressemble un comportement normal. Après cela, oui – une fois qu’il y a une connexion à une nouvelle adresse IP, un nouveau protocole ou un nouveau comportement, ils seront marqués comme suspects, bloqués, et l’utilisateur en sera informé, avec une suggestion sur ce qu’il souhaite autoriser ou non ».
Concernant le filtrage URL, nous avons été un peu déçus. Nous avons testé une petite trentaine d’URLs malveillantes issues du site phishtank.com. Nous avons obtenu un taux de détection de 56 %, ce qui n’est pas merveilleux. Bizarrement, cette fonction était plus performante dans la version précédente de Bitdefender Box.
Enfin, signalons que toutes ces fonctions de sécurité ne sont pas neutres au niveau de la performance réseau. D’après nos tests, l’impact sur le débit descendant est négligeable. Le débit ascendant, en revanche, a été… divisé par trois.
En conclusion, Bitdefender Box 2 est plutôt un bon produit. Ce type d’appareil ne permettra pas de bloquer toutes les attaques possibles et imaginables, mais ses fonctions de sécurité sont réelles et apportent une ligne de défense supplémentaire et intéressante pour tous les appareils de la maison. Le prix public de 250 euros nous paraît toutefois un peu excessif. Ceux qui détenait la première version de l’appareil profitent néanmoins d’une décote de 100 euros. Les autres peuvent bénéficier actuellement d’une remise promotionnelle de 50 euros.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.