Une nouvelle enquête portant sur plus de 6 000 images de microprogrammes n'a révélé aucune amélioration de la sécurité des microprogrammes au cours des 15 dernières années, ainsi que des normes de sécurité laxistes pour les logiciels exécutant des périphériques connectés de Linksys, NETGEAR et d'autres grands fournisseurs de matériel.
L'enquête a été réalisée par Sarah Zatcko, scientifique en chef du Cyber Independent Testing Lab (CITL), qui a expliqué que la sécurité des microprogrammes était pire que ce que beaucoup pensaient:
«Nous n’avons trouvé aucune cohérence dans la façon dont un fournisseur ou une ligne de produits améliore ou montre une amélioration. Rien n'indique que quiconque déploie des efforts concertés pour assurer la sécurité des produits en matière d'hygiène. ”
L'étude CITL a examiné le firmware de 18 fournisseurs différents, dont ASUS, D-Link, Linksys, NETGEAR, Ubiquiti et bien d'autres. L’équipe a analysé plus de 6 000 versions de micrologiciels créées de 2003 à 2018 dans le cadre de la première étude logitudinale sur la sécurité de l’Internet des objets (IoT).
Sommaire
Sécurité du firmware
Les chercheurs du CITL ont étudié des images de micrologiciels disponibles au public pour compiler leur étude et les ont évaluées en fonction de l'intégration de fonctions de sécurité standard, telles que l'utilisation de piles non exécutables, la randomisation de la mise en page de l'espace d'adressage (ASLR) et les gardes de pile utilisés pour éviter les dépassements de mémoire tampon. attaques.
CITL a constaté que les microprogrammes des fabricants les plus utilisés n’avaient pas implémenté les fonctionnalités de sécurité de base, ce qui était également le cas lorsque les chercheurs ont testé les versions les plus récentes du microprogramme.
Il y a eu quelques bonnes nouvelles, notamment le fait que la quasi-totalité du dernier microprogramme de routeur de Linksys et de NETGEAR incluait des piles non exécutables. Cependant, d'autres fonctionnalités de sécurité courantes telles que ASLR ou les gardes de pile n'ont pas été mises en œuvre conformément aux données de CITL.
Les chercheurs ont documenté 299 changements positifs dans les scores de sécurité des microprogrammes au cours des 15 années couvertes par l'étude, mais ils ont également trouvé 360 changements négatifs au cours de la même période. L'analyse de l'ensemble des données a en fait montré que la sécurité des microprogrammes semblait se détériorer avec le temps. Les faibles scores obtenus par ces appareils suggèrent que de nombreuses entreprises fabriquant des appareils IoT n'ont pas adapté leurs pratiques pour prendre en compte les risques accrus liés aux appareils connectés.
Les cybercriminels ciblent de plus en plus les appareils connectés car, comparés à Windows de Microsoft, MacOS d’Apple et Google Chrome, ils sont une proie facile.
Via le registre de sécurité
