Nombreuses failles de sécurité dans les routeurs Linksys domestiques
Est-ce que les fabricants de routeurs domestiques consacrent suffisamment de ressources pour identifier les vulnérabilités dans leurs produits avant qu’ils ne procèdent à l’envoi ?
On peut à présent être pardonné d’avoir eu des doutes après l’annonce faite cette semaine, par l’équipe de chercheurs IOActive qui a trouvé 10 failles importantes affectant presque tous les routeurs Linksys domestiques actuellement en vente.
Nous ne savons pas si beaucoup d’efforts ont été mis en œuvre pour trouver ces failles de sécurité, mais elles étaient bien présentes dans 26 modèles faisant partie la série Smart WiFi (modèles avec les préfixes EA et WRT).
Ces failles pouvaient permettre à des cybercriminels de :
- Générer un Déni de Service (DoS) en envoyant des requêtes à une API non configurée. Les administrateurs auraient été bloqués jusqu’à la fin de l’attaque.
- Utiliser les scripts du serveur web CGI pour dévoiler les périphériques et les ordinateurs connectés, révéler le code PIN WPS Wi-Fi et lister la version du firmware et les paramètres de configuration.
- Créer un compte “backdoor” caché avec les privilèges “root” et la possibilité d’exécuter des commandes.
La troisième faille impose au cybercriminel de se connecter au préalable, mais cette contrainte ne semble pas aussi insurmontable : en effet, lorsque l’équipe IoActive a lancé une requête Shodan, elle a trouvé 7000 routeurs vulnérables, dont 11% utilisaient les identifiants par défaut.
Linksys, qui a été informé des failles en janvier dernier, a émis un avertissement recommandant aux propriétaires de désactiver le compte Wi-Fi invité, jusqu’à ce qu’un correctif soit disponible, tout en leur rappelant (facepalm!) de modifier le mot de passe administrateur par défaut !
Comme pour toute vulnérabilité au niveau d’un routeur, le problème majeur est : “Combien de propriétaires prendront connaissance du problème et se donneront la peine d’installer la mettre à jour ?”. Le correctif est une très bonne chose, encore faut-il l’installer !
Sur ce point, les choses semblent mitigées. Sur la plupart ou sur tous les modèles Linksys affectés, les propriétaires peuvent vérifier les mises à jour du firmware simplement en appuyant sur un bouton dans l’interface d’administration. Cela exige toutefois que le propriétaire atteigne cette étape, ou bien soit au courant qu’un tel bouton existe.
Les propriétaires de routeurs Linksys peuvent activer les mises à jour automatiques mais, à priori, après avoir créé un compte Cloud spécifique. Il existe également une application Android Linksys pour la gestion des paramètres sur les routeurs Smart WiFi, mais nous ne savons pas si les utilisateurs de l’application ont reçu des notifications à propos des correctifs.
En résumé, beaucoup de propriétaires pourraient ne jamais entendre parler de cette mise à jour.
Néanmoins, les chercheurs de l’équipe IOActive ont déclaré :
Nous tenons à souligner que Linksys a été exemplaire dans le traitement de la mise à jour et nous sommes heureux de déclarer qu’ils prennent très au sérieux la cybersécurité.
Cette déclaration fait référence à une période passée où de nombreux fabricants de routeurs estimaient que ce type de faille de sécurité n’était “pas leur problème”. Le fait d’utiliser des firmwares unifiés au niveau de plusieurs produits rend les mises à jour disponibles, beaucoup plus régulièrement que par le passé.
Mais il semble tout de même que les routeurs domestiques restent des cibles trop faciles pour les experts en sécurité qui ont du temps à y consacrer.
Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Multiple security holes discovered in Linksys routers, par John E Dunn, Sophos NakedSecurity.