Les chercheurs découvrent une faille de sécurité irréparable affectant des millions d’appareils pour maison intelligente
Un nouveau livre blanc rédigé par des chercheurs de la société de sécurité d'entreprise Forescout a mis au jour une vulnérabilité affectant potentiellement des millions d'appareils connectés.
Le problème provient de vulnérabilités zero-day dans quatre bibliothèques de code TCP / IP open source largement utilisées.
Amnesia: 33 pourrait être difficile à oublier
L'équipe à l'origine du livre blanc a baptisé cette vulnérabilité Amnesia: 33 et décrit chaque problème en détail dans un livre blanc disponible sur Forescout [PDF] .
Forescout estime que la faille de sécurité affecte plus de 150 fournisseurs d'appareils connectés dans le monde. Des millions d'appareils sont potentiellement vulnérables, des appareils domestiques intelligents aux appareils Internet des objets (IoT) utilisés dans les environnements industriels.
La vulnérabilité a plusieurs façons potentielles d'affecter divers appareils, comme le décrit le livre blanc:
- Exécution de code à distance (RCE) pour prendre le contrôle d'un équipement cible
- Déni de service (DoS) pour altérer la fonctionnalité et avoir un impact sur les opérations commerciales
- Fuite d'informations (Infoleak) pour acquérir des informations potentiellement sensibles
- Empoisonnement du cache DNS pour pointer un appareil vers un site Web malveillant
N'importe lequel de ces modèles d'attaque pourrait faire des ravages sur un système, et réparer le trou ne sera pas une tâche facile.
Risques et conséquences à grande portée
C'est loin d'être la première fois que les systèmes connectés présentent des défauts, certains se demandant même si des appareils comme Ring pourraient rendre votre maison moins sécurisée que les appareils de sécurité hors ligne traditionnels. Bien qu'il n'y ait jusqu'à présent aucune attaque documentée en raison de cette vulnérabilité, l'équipe Forescout a décrit quelques scénarios d'attaque crédibles.
La pile réseau utilisée est présente dans un grand nombre d'appareils connectés, y compris les prises intelligentes et les moniteurs de température, ce qui pourrait affecter les utilisateurs à domicile, mais aurait des conséquences beaucoup plus désastreuses dans les espaces publics.
Dans un environnement de soins de santé, par exemple, un attaquant pourrait accéder au réseau et causer des ravages, affectant potentiellement le système de température, les verrous connectés ou déclencher de fausses alarmes d'incendie. Dans un environnement de vente au détail, les capteurs de température connectés sont un point de faiblesse fréquent, et une fois sur le réseau, un pirate informatique pourrait mettre la boutique entière hors ligne – ce qui rendrait de nombreux magasins incapables d'effectuer des transactions ou de surveiller le stock.
Bien sûr, ce sont les pires scénarios, mais comme pour tous les livres blancs sur la sécurité: si Forescout y a pensé, alors quelqu'un avec une intention malveillante l'a probablement aussi.
Pourquoi cela ne peut-il pas être résolu?
Les bibliothèques de codes au centre d'Amnesia: 33 sont les éléments de base de nombreux appareils en réseau. Ils sont tous open-source, ce qui signifie qu'ils sont librement disponibles pour être utilisés ou modifiés par les développeurs.
Même si ces bibliothèques de code sont toutes mises à jour, la nature de l'utilisation de code disponible gratuitement se traduit par des bibliothèques remixées, des implémentations uniques et de vastes zones de bases de code avec du code potentiellement malveillant.
À ce stade, le seul moyen de résoudre ce problème est que les entreprises assument la responsabilité individuelle et évaluent leurs implémentations logicielles, jusqu'au bare metal.
Même si la plupart des vendeurs le prennent au sérieux, je doute que ce soit le dernier que nous entendrons parler d'Amnesia: 33.