Un pare-feu était autrefois un boîtier physique : une appliance dédiée, câblée, administrée localement. Aujourd'hui, c'est une fonction logicielle — une VNF (Virtual Network Function) — instanciée en quelques secondes sur un serveur COTS (Commercial Off-The-Shelf), orchestrée par une API REST, déployée dans un container ou une VM. Cette transformation, portée par le SDN (Software-Defined Networking) et le NFV (Network Function Virtualization), est au cœur des réseaux de nouvelle génération (NGN). Elle offre une agilité sans précédent — et crée une surface d'attaque que les RSSI peinent encore à modéliser.
L'architecture NGN : ce qui change fondamentalement
Dans un réseau traditionnel, chaque équipement (routeur, switch, pare-feu) embarque sa propre intelligence — son control plane — directement dans le matériel. Le SDN dissocie le plan de contrôle du plan de données. Un contrôleur SDN centralisé (OpenDaylight, ONOS, Cisco APIC) prend les décisions de routage ; les équipements n'exécutent que les instructions reçues via une interface standardisée comme OpenFlow.
Le NFV va plus loin : il remplace les appliances réseau dédiées par des logiciels tournant sur des serveurs génériques. Un vSRX Juniper ou un vASA Cisco est fonctionnellement équivalent à son homologue physique, mais tourne dans une VM.
La 5G ajoute une couche supplémentaire de complexité avec le network slicing : un seul réseau physique est partitionné en plusieurs réseaux virtuels logiques isolés (slices), chacun avec ses paramètres de QoS, latence et bande passante propres. Un slice IoT industriel, un slice eMBB grand public, un slice URLLC pour la chirurgie à distance — sur la même infrastructure.
Les nouvelles surfaces d'attaque
1. Le contrôleur SDN comme point de défaillance unique
En centralisant le plan de contrôle, le SDN crée une cible de choix. Compromettre le contrôleur, c'est potentiellement contrôler l'ensemble du réseau. Un attaquant peut injecter de fausses règles de flux (flow rules), rediriger du trafic vers un collecteur malveillant, ou saturer le contrôleur de requêtes pour provoquer une panne généralisée (control plane DDoS). Les interfaces northbound du contrôleur — généralement des APIs REST non standardisées — sont la surface d'attaque la plus exposée.
2. Les APIs de gestion réseau
Le réseau NGN est piloté par des APIs. L'orchestrateur NFV (MANO — Management and Orchestration) expose des endpoints REST pour déployer, configurer et supprimer des VNFs. Une API mal sécurisée — absence d'authentification, tokens non révoqués, IDOR (Insecure Direct Object Reference) — peut permettre à un attaquant de déployer ses propres fonctions réseau malveillantes, modifier des configurations, ou éteindre des VNFs en production.
3. Le trafic Est-Ouest non inspecté
Les architectures de sécurité traditionnelles inspectent le trafic Nord-Sud (entre le réseau interne et Internet). Dans un environnement NFV, les VNFs communiquent intensément entre elles — trafic Est-Ouest interne. Ce trafic est rarement inspecté, car les pare-feux périmètriques ne le voient pas. Une VNF compromise peut latéraliser librement vers d'autres fonctions réseau.
4. Les VNFs malveillantes ou compromises
Les VNFs sont des images logicielles déployées depuis des dépôts. Une image corrompue — via une attaque supply chain — peut introduire des portes dérobées dans la pile réseau elle-même. Contrairement à l'appliance physique qui était auditée une fois et câblée, une VNF peut être mise à jour, remplacée, ou réinstanciée à tout moment.
5. Les attaques cross-slice en 5G
L'isolation des slices 5G repose sur des mécanismes logiciels, pas physiques. Des vulnérabilités dans l'isolation (mauvaise configuration du PLMN, failles dans le SMF — Session Management Function) peuvent permettre à un attaquant présent dans un slice de lire ou d'injecter du trafic dans un autre. Le slice URLLC d'une salle d'opération et le slice grand public partageant la même infrastructure physique : l'enjeu n'est pas théorique.
Vecteurs d'attaque documentés
- Controller Hijacking : exploitation d'une vulnérabilité dans l'interface northbound pour prendre le contrôle du contrôleur SDN.
- Flow Rule Poisoning : injection de règles de flux malveillantes pour rediriger le trafic vers un collecteur attaquant.
- Orchestrator API Abuse : exploitation d'endpoints MANO non authentifiés pour déployer des VNFs malveillantes.
- 5G SUPI/SUCI Attacks : dans les premières implémentations 5G, des problèmes dans la protection des identifiants d'abonnés (SUPI, désormais chiffrés via SUCI) permettaient le tracking de terminaux.
- NAS-SM Protocol Attacks : exploitation de vulnérabilités dans les messages Non-Access Stratum pour forcer des handovers ou des déconnexions.
Stratégies de défense adaptées aux NGN
Zero Trust Network Architecture (ZTNA) : "Ne jamais faire confiance, toujours vérifier." Dans un NGN, cela signifie authentifier et autoriser chaque VNF, chaque flux, chaque appel d'API — indépendamment de la position dans le réseau. Aucune VNF n'est "de confiance" par défaut, même si elle est dans le même data center.
mTLS entre microservices et VNFs : imposer l'authentification mutuelle TLS sur tous les flux Est-Ouest. Service Mesh (Istio, Linkerd) automatise ce pattern dans les environnements containerisés. Chaque VNF dispose d'un certificat à courte durée de vie, renouvelé automatiquement.
Sécurisation des APIs de gestion : les interfaces MANO et SDN northbound doivent être traitées comme des APIs publiques critiques — OAuth 2.0 + scopes granulaires, rate limiting, audit logging complet, validation stricte des entrées. OWASP API Security Top 10 s'applique intégralement.
Microsegmentation : décomposer le réseau NGN en zones de confiance minimales. Une VNF pare-feu ne devrait communiquer qu'avec les VNFs dont elle a besoin pour fonctionner — pas avec l'ensemble du plan de données. Les Network Policies Kubernetes ou les Security Groups cloud appliquent ce principe.
Runtime Integrity Verification : surveiller l'intégrité des VNFs en cours d'exécution. Des solutions comme Falco (eBPF) ou des TEE (Intel SGX) peuvent détecter des comportements anormaux — une VNF qui écoute sur un port inattendu, exécute des processus non prévus, ou tente d'accéder à des ressources hors de son périmètre.
La dualité inévitable
La virtualisation du réseau est irréversible. Elle apporte une agilité, une résilience et une scalabilité impossibles avec des appliances physiques. Mais chaque couche d'abstraction ajoutée — SDN, NFV, network slicing, orchestration cloud-native — est aussi une couche d'exposition potentielle. La surface d'attaque des NGN n'est pas une raison de rejeter ces architectures : c'est une contrainte de conception à intégrer dès les premières décisions d'architecture.
En sécurité des réseaux comme en développement logiciel, le modèle de menace doit être rédigé avant le premier câble virtuel. Dans les NGN, ce n'est pas une bonne pratique — c'est une nécessité.