[Blog] Fin des mises à jour, quels risques ?

L’obsolescence systémique et la télémétrie : Analyse de la vulnérabilité intrinsèque des infrastructures informatiques en fin de vie dès la connexion initiale

La compréhension traditionnelle de la cybersécurité repose souvent sur le postulat que la vulnérabilité d’un système informatique est une fonction de l’interaction humaine : une erreur de configuration, le clic sur un lien malveillant ou le téléchargement d’un fichier infecté. Cependant, l’évolution de l’architecture logicielle vers des modèles de dépendance continue aux services distants a engendré un nouveau paradigme de risque. Dans ce contexte, un système en fin de vie (End-of-Life, EOL) ne devient pas faillible par l’action de son utilisateur, mais par sa propre architecture. Il est intrinsèquement programmé pour initier des communications avec des infrastructures de confiance qui, une fois abandonnées par leurs fournisseurs d’origine, se transforment en vecteurs d’infection automatique. Ce rapport explore la télémétrie comme surface d’attaque systématique, analysant comment les domaines orphelins et les infrastructures abandonnées sont réutilisés pour compromettre les systèmes dès les premiers instants de leur connexion à Internet.

La télémétrie comme automate de vulnérabilité : Mécanismes et flux silencieux

La télémétrie moderne ne se limite pas à l’envoi de rapports d’erreur ; elle constitue un système nerveux complexe assurant la validation des licences, la synchronisation temporelle, la vérification de la connectivité et la recherche de mises à jour. Ces flux sont caractérisés par leur nature « silencieuse » et autonome. Dès le démarrage d’un système d’exploitation ou d’un service réseau, des requêtes sont émises vers des points de terminaison souvent codés en dur (hardcoded) dans les binaires.

Les premiers instants de la connexion : Le réveil de l’automate

Lorsqu’un système obsolète, tel qu’une instance de Windows XP ou Windows 7 encore présente dans des environnements industriels ou médicaux, établit une connexion réseau, il tente immédiatement de joindre ses serveurs de référence. Ces tentatives de connexion se produisent avant même qu’une session utilisateur ne soit pleinement opérationnelle. Si les domaines associés à ces services ont été abandonnés ou ont expiré, un attaquant ayant racheté ces ressources peut intercepter ces requêtes et répondre avec des données malveillantes.

Le risque est amplifié par le fait que ces services de maintenance fonctionnent généralement avec des privilèges de niveau « Système » ou « Root ». Une réponse falsifiée à une requête de mise à jour peut ainsi mener à l’exécution de code à distance (RCE) sans aucune intervention ou notification pour l’utilisateur. La vulnérabilité est donc une propriété déterministe du système : tant que le système est connecté et que l’infrastructure de destination est compromise, l’infection est inévitable.

Type de Flux Silencieux	Protocole	Fonction de Maintenance	Risque en cas d’Obsolescence
Télémétrie Analytique	HTTPS/UDP	Collecte de données d’usage et performance	Interception de métadonnées et redirection C2
Vérification NTP	NTP (Port 123)	Synchronisation de l’horloge système	Empoisonnement temporel et invalidation de certificats
Requêtes WHOIS	WHOIS (Port 43)	Vérification de la propriété des domaines émetteurs	Exécution de code via parsing de réponse malveillante
Mise à jour automatique	HTTP/HTTPS	Téléchargement de correctifs ou de signatures	Substitution de binaires par des portes dérobées (backdoors)

Hardcoding et persistance des références obsolètes

Le problème fondamental réside dans la rigidité des références. De nombreux logiciels et systèmes d’exploitation utilisent des adresses IP ou des domaines statiques pour leurs fonctions critiques. Par exemple, des variantes de télémétrie Windows ont été observées utilisant des domaines comme alpha.telemetry.microsft.com (notez la faute de frappe potentielle ou le domaine spécifique) ou des adresses IP codées en dur pour contourner les échecs DNS. Dans un scénario d’obsolescence, ces références deviennent des « points d’ancrage » pour les attaquants. Le système ne peut pas « apprendre » que le service a déménagé ou a cessé d’exister ; il continue de frapper à une porte désormais contrôlée par un tiers malveillant.

L’infrastructure fantôme : Analyse du détournement des domaines orphelins

Le concept de domaine orphelin ou abandonné est au cœur de cette surface d’attaque. Un fournisseur de services peut décider de migrer ses infrastructures vers de nouveaux domaines, laissant les anciens expirer sans réaliser que des milliers de clients legacy continuent de pointer vers eux.

L’affaire du TLD.MOBI : Une étude de cas sur l’infrastructure critique

En 2024, les recherches menées par watchTowr Labs ont révélé une faille systémique majeure concernant le domaine de premier niveau (TLD).mobi. Historiquement, le serveur WHOIS faisant autorité pour ce TLD était whois.dotmobiregistry.net. Suite à une migration technique, le service a été déplacé vers whois.nic.mobi, et le domaine original a été laissé à l’abandon jusqu’à son expiration en décembre 2023.

L’acquisition de ce domaine pour seulement 20 dollars a permis aux chercheurs de prendre le contrôle d’une partie de l’infrastructure de confiance de l’Internet. Les résultats ont été immédiats :

• Plus de 135 000 systèmes uniques ont continué de contacter le serveur obsolète.
• Plus de 2,5 millions de requêtes ont été enregistrées en quelques jours.
• Des serveurs mail gouvernementaux et militaires (.gov,.mil) figuraient parmi les clients actifs, utilisant ces données pour valider la légitimité des communications entrantes.

L’implication la plus grave a été la subversion du processus des Autorités de Certification (CA). Certaines CA utilisaient encore le serveur WHOIS obsolète pour vérifier la propriété d’un domaine lors de la délivrance de certificats TLS/SSL par validation e-mail. En contrôlant la réponse WHOIS, l’attaquant pouvait se désigner comme propriétaire légitime de n’importe quel domaine.mobi, permettant ainsi d’obtenir des certificats valides pour des domaines sensibles tels que google.mobi ou microsoft.mobi.

Vulnérabilités de parsing et exécution de code

Le contrôle d’un serveur de télémétrie ou de WHOIS permet également d’exploiter des vulnérabilités de type « client-side ». De nombreuses bibliothèques logicielles conçues il y a plus d’une décennie ne prévoyaient pas que l’infrastructure de confiance puisse devenir hostile.

• CVE-2015-5243 (phpWHOIS) : Cette bibliothèque utilise la fonction PHP eval() pour traiter les données renvoyées par le serveur WHOIS. En envoyant une chaîne de caractères spécifiquement formatée dans la réponse WHOIS, un attaquant peut obtenir une exécution de code à distance immédiate sur le serveur du client.
• Fail2Ban (CVE-2021-32749) : Cet outil de sécurité populaire, qui surveille les logs pour bloquer les IP malveillantes, peut être configuré pour envoyer des e-mails d’alerte contenant des informations WHOIS. Une réponse malveillante peut déclencher une injection de commande lors de la génération de l’e-mail.

Ces exemples soulignent que le système obsolète, en cherchant à se sécuriser ou à s’informer auprès de son infrastructure parente, devient l’instrument de sa propre perte.

La technique « Sitting Ducks » : L’exploitation systémique des configurations DNS

Le détournement de domaines ne nécessite pas toujours l’expiration du domaine lui-même, mais peut reposer sur des faiblesses de configuration DNS connues sous le nom de « Sitting Ducks ». Cette attaque survient lorsqu’un domaine est délégué à un fournisseur DNS tiers, mais que la configuration chez ce fournisseur est absente ou invalide.

Mécanisme de la délégation boiteuse (Lame Delegation)

Dans une configuration Sitting Ducks, le registraire pointe vers des serveurs de noms (Nameservers) faisant autorité, mais ces serveurs n’ont pas d’enregistrement pour le domaine en question. Un attaquant peut alors s’inscrire auprès du même fournisseur DNS et revendiquer le domaine sans aucune vérification de propriété, car le fournisseur DNS voit une requête légitime de délégation vers ses propres systèmes.

Selon les données d’Infoblox, plus de 70 000 domaines ont été ainsi compromis au cours des cinq dernières années. Ce vecteur est particulièrement prisé par des groupes cybercriminels russes pour la distribution de malwares et la gestion de botnets.

Groupe de Menace	Vecteur d’Attaque	Usage Principal
Vacant Viper	Sitting Ducks (404 TDS)	Distribution de spam, malwares et C2 pour RAT
Vextrio Viper	Détournement DNS	Infrastructure de redirection pour programmes d’affiliation
Hasty Hawk	Lame Delegation	Campagnes de phishing à grande échelle
Horrid Hawk	Exploitation DNS	Fraude financière et vol d’identifiants

L’aspect critique pour les systèmes en fin de vie est que ces domaines détournés sont souvent ceux utilisés par les anciens services de mise à jour ou de support. Lorsqu’un système EOL tente de résoudre l’adresse de son serveur de télémétrie, il reçoit une réponse authentique (du point de vue DNS) le dirigeant vers une infrastructure malveillante.

Détournement de réseaux et « IP Zombies » : L’érosion du routage BGP

Le problème de l’obsolescence s’étend au-delà des noms de domaine pour toucher les ressources fondamentales du réseau : les adresses IPv4. En raison de la pénurie mondiale d’adresses, les blocs IP « hérités » (Legacy IP) appartenant à des entreprises disparues sont devenus des cibles de choix pour le détournement de trafic via le protocole BGP.

Le cas Fiberlinkcc.com et IP Ocean

L’enquête sur le domaine fiberlinkcc.com a démontré comment une infrastructure de 30 ans peut être ressuscitée pour des activités illicites. Ce domaine, autrefois propriété de Fiberlink Communications (acquis par IBM en 2013), a été racheté par un acteur russe lié au fournisseur « IP Ocean ». Ce domaine a servi de pivot pour annoncer des routes BGP pour des blocs IP appartenant à Citigroup, AT&T et des organismes gouvernementaux canadiens qui n’étaient plus activement surveillés.

Les « BGP Zombies » et l’instabilité du routage

Un « BGP Zombie » est une route qui persiste dans la table de routage globale (Default-Free Zone) même après avoir été retirée par l’émetteur original. Ces anomalies de routage peuvent durer de quelques minutes à plusieurs heures, créant des fenêtres d’opportunité pour l’interception de trafic.

Pour un système en fin de vie, cette instabilité est fatale. Si le système possède des listes blanches d’IP pour ses communications de télémétrie, il continuera d’envoyer ses données vers ces blocs même s’ils ont été détournés. L’attaquant n’a pas besoin de compromettre le DNS s’il peut directement attirer le trafic IP vers ses propres serveurs.

$$T_{convergence} \approx k \times \log(N)$$

Où $T_{convergence}$ est le temps de convergence du réseau après une modification BGP, $k$ une constante liée aux délais de propagation et $N$ le nombre de systèmes autonomes. Dans le cas de routes zombies, ce temps peut être artificiellement prolongé, permettant une interception prolongée des flux de télémétrie.

Les systèmes industriels (OT) et les objets connectés (IoT) illustrent parfaitement la thèse de la vulnérabilité par soi-même. Ces dispositifs sont souvent conçus pour être « déployés et oubliés », fonctionnant pendant des décennies sans mise à jour.

Le protocole CWMP (TR-069) et l’exposition massive

Le protocole CWMP (CPE WAN Management Protocol) est utilisé pour la gestion à distance de millions de routeurs et d’appareils IoT. Une analyse a révélé que plus de 20 millions de dispositifs CWMP sont directement exposés sur Internet, fonctionnant souvent avec des logiciels obsolètes.

• Vecteur d’infection automatique : De nombreux appareils sont configurés pour contacter périodiquement un serveur ACS (Auto Configuration Server). Si l’URL de l’ACS est obsolète et son domaine racheté, l’attaquant peut instantanément reconfigurer l’ensemble du parc d’appareils, injecter des backdoors ou transformer les dispositifs en nœuds de botnet.
• Identifiants par défaut et backdoors : Des vulnérabilités comme CVE-2024-56316 montrent que des serveurs de gestion peuvent subir des dénis de service permanents ou des exécutions de code via des requêtes TR-069 malformées, affectant des millions de clients.

Mirai et l’héritage de l’insécurité

Le botnet Mirai a marqué l’histoire en utilisant des scans automatiques pour infecter des systèmes IoT via des ports telnet et des identifiants par défaut. Ce qui est souvent ignoré, c’est que Mirai ciblait spécifiquement des dispositifs en fin de vie ou non maintenus. Une fois infectés, ces appareils contactaient des serveurs C2 via des domaines spécifiques. Même après le démantèlement des infrastructures Mirai originales, les appareils infectés continuent de tenter de joindre ces domaines. Quiconque reprend possession de ces noms de domaine hérite d’un botnet prêt à l’emploi.

La menace des « Zombie Data » et de l’extorsion de chaîne d’approvisionnement

L’obsolescence ne frappe pas seulement le matériel et le logiciel, mais aussi les données résiduelles. Le concept de « Zombie Data » désigne les informations historiques stockées par des tiers longtemps après la fin de la relation commerciale.

L’incident Mixpanel/Pornhub a démontré que des données analytiques de 2021 étaient encore présentes dans les systèmes d’un fournisseur en 2025, bien que le client ait cessé d’utiliser le service. Pour une entreprise utilisant des systèmes EOL, cela signifie que sa surface d’attaque s’étend à tous ses anciens fournisseurs dont l’infrastructure pourrait être compromise.

• Extorsion contextuelle : Les attaquants comme ShinyHunters ne se contentent plus de voler des numéros de cartes de crédit ; ils recherchent le contexte comportemental (habitudes de connexion, métadonnées de télémétrie) pour mener des campagnes de chantage ou de phishing hautement ciblées.
• Offboarding incomplet : La plupart des programmes de gestion des risques tiers (TPRM) échouent car ils ne vérifient pas techniquement la suppression des données et la fermeture des flux de télémétrie lors de la mise hors service d’un système.

Risque lié aux Données Zombies	Mécanisme de Menace	Impact
Rétention non autorisée	Échec du processus de purge des données chez le fournisseur	Violation de conformité (RGPD) et risque d’extorsion
Profilage historique	Analyse des anciens logs de télémétrie	Identification des vulnérabilités non corrigées du système EOL
Shadow API	Flux de données persistants vers des endpoints oubliés	Exfiltration continue de données sensibles

La télémétrie comme vecteur de reconnaissance pour les APT

Pour les groupes d’attaquants parrainés par des États (APT), la télémétrie des systèmes obsolètes est une mine d’or pour la reconnaissance passive. En prenant le contrôle d’un nœud d’infrastructure abandonné, ils peuvent identifier précisément quelles organisations utilisent encore des technologies vulnérables.

L’écoute aux portes de l’infrastructure de confiance

Lorsqu’un système Windows 7 au sein d’une infrastructure critique contacte un serveur de télémétrie détourné, il révèle :

1. Son adresse IP publique (permettant la géolocalisation et l’identification de l’organisation).
2. Sa version précise de build et de patch (permettant de sélectionner l’exploit adéquat).
3. La liste des processus actifs ou des erreurs logicielles rencontrées.

Cette méthode permet aux attaquants de cartographier des réseaux cibles sans jamais envoyer un seul paquet suspect vers la cible. C’est le système victime qui « se confesse » à l’attaquant.

Stratégies de défense et perspectives de recherche

La lutte contre la vulnérabilité intrinsèque des systèmes EOL nécessite un changement radical d’approche. Puisque le système ne peut être corrigé, c’est l’environnement réseau qui doit devenir intelligent.

Vers une sécurité réseau consciente de l’obsolescence

Les travaux actuels se concentrent sur plusieurs axes pour atténuer ces risques :

• Sinkholing Proactif : Les organisations de sécurité comme la Shadowserver Foundation collaborent avec des chercheurs pour identifier et racheter préventivement les domaines de télémétrie obsolètes afin de rediriger le trafic vers des serveurs de recherche (« sinkholes ») plutôt que vers des infrastructures criminelles.
• Micro-segmentation et Zero Trust : Pour les systèmes hérités, le réseau doit appliquer une politique de « moindre privilège » absolu. Chaque requête de télémétrie doit être inspectée par une passerelle capable de valider non seulement la destination, mais aussi le contenu de la réponse.
• Remplacement des protocoles hérités : Le passage de WHOIS à RDAP (Registration Data Access Protocol) et de l’OCSP temps réel aux mécanismes comme CRLite permet de réduire la dépendance aux infrastructures réseau potentiellement instables ou hostiles.

Conclusion : La fin de l’innocence systémique

Le constat est sans appel : un système informatique en fin de vie, par ses mécanismes de télémétrie et ses dépendances hardcodées, est une bombe à retardement qui s’active dès sa connexion initiale. La transformation de domaines orphelins en systèmes d’infection généralisés n’est plus une hypothèse théorique, mais une réalité documentée affectant des gouvernements, des industries et des millions d’utilisateurs.

La sécurité de ces systèmes ne peut plus reposer sur la prudence de l’utilisateur, mais doit être traitée comme un problème d’infrastructure globale. L’obsolescence logicielle doit être gérée avec la même rigueur que le démantèlement de matières dangereuses : par une purge active des références, une surveillance étroite des ressources abandonnées et une isolation stricte des systèmes qui ne peuvent plus faire confiance à la « base » qu’ils ont été programmés pour appeler. La faillibilité intrinsèque est le prix de la connectivité permanente ; la vigilance infrastructurelle est la seule réponse viable.