Des millions d’appareils intelligents vulnérables au piratage

Les chercheurs d’une entreprise de cybersécurité affirment avoir identifié des vulnérabilités dans des logiciels largement utilisés par des millions d’appareils connectés – des failles qui pourraient être exploitées par des pirates pour pénétrer les réseaux informatiques professionnels et domestiques et les perturber.

Il n’y a aucune preuve d’intrusions ayant fait usage de ces vulnérabilités. Mais leur existence dans un logiciel de communication de données au cœur des appareils connectés à Internet a incité la Cybersecurity and Infrastructure Security Agency des États-Unis à signaler le problème dans un bulletin.

Les appareils potentiellement affectés provenant d’environ 150 fabricants vont des thermomètres en réseau aux prises et imprimantes «intelligentes», en passant par les routeurs de bureau et les appareils de santé en passant par les composants des systèmes de contrôle industriels, a déclaré la société de cybersécurité Forescout Technologies dans un rapport publié mardi. Les plus touchés sont les appareils grand public, y compris les capteurs de température télécommandés et les caméras, a-t-il déclaré.

Dans le pire des cas, les systèmes de contrôle qui assurent des «services essentiels à la société» tels que l’eau, l’électricité et la gestion automatisée des bâtiments pourraient être paralysés, a déclaré Awais Rashid, informaticien à l’Université de Bristol en Grande-Bretagne qui a examiné les résultats de Forescout.

Dans son avis, CISA a recommandé aux utilisateurs de prendre des mesures défensives pour minimiser le risque de piratage. En particulier, il a suggéré de couper les systèmes de contrôle industriels d’Internet et de les isoler des réseaux d’entreprise.

La découverte met en évidence les dangers que les experts en cybersécurité trouvent souvent dans les appareils connectés à Internet conçus sans trop d’attention à la sécurité. La programmation bâclée par les développeurs est le principal problème dans ce cas, a déclaré Rashid.

La résolution des problèmes, qui pourraient affecter des millions d’appareils concernés, est particulièrement compliquée car ils résident dans des logiciels dits open source, du code librement distribué pour une utilisation et des modifications ultérieures. Dans ce cas, le problème concerne un logiciel Internet fondamental qui gère la communication entre les appareils Internet via une technologie appelée TCP / IP.

La correction des vulnérabilités des appareils concernés est particulièrement compliquée car les logiciels open source n’appartiennent à personne, a déclaré Elisa Costante, vice-présidente de la recherche chez Forescout. Ce code est souvent maintenu par des bénévoles. Une partie du code TCP / IP vulnérable a deux décennies; certains d’entre eux ne sont plus pris en charge, a ajouté Costante.

Il appartient aux fabricants d’appareils eux-mêmes de corriger les défauts et certains pourraient ne pas déranger compte tenu du temps et des dépenses nécessaires, a-t-elle déclaré. Une partie du code compromis est intégrée dans un composant d’un fournisseur – et si personne ne l’a documenté, personne ne peut même savoir qu’il est là.

« Le plus grand défi consiste à découvrir ce que vous avez », a déclaré Rashid.

Si elles ne sont pas corrigées, les vulnérabilités pourraient exposer les réseaux d’entreprise à des attaques par déni de service paralysantes, à la livraison de ransomwares ou à des logiciels malveillants qui détournent des appareils et les enrôlent dans des botnets zombies, ont déclaré les chercheurs. Avec autant de personnes travaillant à domicile pendant la pandémie, les réseaux domestiques pourraient être compromis et utilisés comme canaux dans les réseaux d’entreprise via des connexions d’accès à distance.

Forescout a informé autant de fournisseurs que possible des vulnérabilités, qu’il a surnommées AMNESIA: 33. Mais il était impossible d’identifier tous les appareils concernés, a déclaré Costante. La société a également alerté les autorités de sécurité informatique américaines, allemandes et japonaises, a-t-elle déclaré.

La société a découvert les vulnérabilités dans ce qu’elle a appelé la plus grande étude jamais réalisée sur la sécurité des logiciels TCP / IP, un effort d’un an qu’elle a appelé Project Memoria.

© 2020 The Associated Press. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation.