Faille de sécurité sérieuse : Des millions d’objets connectés en danger !

Objets Connectés

Un expert cybersécurité a découvert de sérieuses failles de sécurité dans une fonctionnalité d’un logiciel IoT (Internet of Things) appelé iLnkP2P, qui a rendu des millions d’objets connectés, utilisant celui-ci, vulnérables vis-à-vis d’une potentielle recherche distante ou d’un éventuel piratage.

objets connectes

Cette faille a été médiatisée par Paul Marrapese, car ni iLnkP2P ni la société chinoise qui a développé ce logiciel, Shenzhen Yunni Technology, ne sont connus par ceux qui achètent les produits en question.

Malgré cela, iLnkP2P a été identifié dans au moins deux millions d’objets connectés et fabriqués par des sociétés telles que HiChip, TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight et HVCAM.

L’objectif du logiciel est de permettre à des objets connectés, tels que des webcams de sécurité, des moniteurs pour bébé et des sonnettes intelligentes, d’être configurés rapidement sans avoir à connaitre la technique pour ouvrir des ports au niveau du pare-feu d’un routeur à large bande.

A la place, les consommateurs peuvent allumer leur nouvel appareil et s’y connecter instantanément en mode peer-to-peer (P2P), et ce à l’aide d’une application sur leur ordinateur en entrant un identifiant unique (UID). Cette méthode est plutôt attractive et facile à utiliser, mais à priori il ne s’agit pas là d’une bonne architecture d’un point de vue cybersécurité.

Les failles de sécurité

La principale vulnérabilité dans iLnkP2P est CVE-2019-11220. Pour des raisons évidentes, Marrapese ne s’attarde pas dessus, mais il précise tout de même qu’elle permet à des attaquants de lancer une offensive de type “man-in-the-middle” et de dérober les mots de passe des appareils qui permettront une prise de contrôle ultérieure.

Une autre faille, CVE-2019-11219, permettrait à des attaquants de trouver véritablement les objets connectés vulnérables vis-à-vis de la faiblesse mentionnée ci-dessus et de les atteindre même s’ils se trouvent de l’autre côté d’un pare-feu apparemment sécurisé en utilisant la NAT (Network Address Translation).

La plupart des objets connectés ne semblent pas utiliser le chiffrement. Marrapese accuse même un éditeur de mentir sur le niveau réel du chiffrement utilisé.

Tout appareil utilisant iLnkP2P est en danger. Le moyen le plus simple de savoir si un périphérique l’utilise est de rechercher l’UID imprimé sur un autocollant situé sur le côté de l’appareil (ce qui correspond aux trois premières lettres des quatre lettres affichées). Ensuite, il suffit de rechercher d’éventuelles correspondances en consultant la liste des 91 UID connus et publiés par Marrapese.

Cependant, cette liste n’est pas exhaustive : il se peut que d’autres objets connectés non répertoriés utilisent iLnkP2P et possèdent des UID différents.

Correction de cette faille de sécurité

Pour les propriétaires de ces objets connectés, il ne semble pas y avoir beaucoup de solutions autres que le blocage manuel du port UDP du logiciel : à savoir 32100. Cela permettra un accès local tout en bloquant le trafic distant. Marrapese propose également une autre alternative :

Achetez un nouvel appareil auprès d’un éditeur réputé. Les recherches suggèrent qu’il est peu probable qu’un correctif soit fourni par les éditeurs, et ces objets connectés sont souvent confrontés à d’autres problèmes de sécurité qui mettent leurs propriétaires en danger.

En effet, lorsque Marrapese a contacté les fabricants concernés à plusieurs reprises entre janvier et février, il n’a reçu aucun retour.

Et c’est bien le problème qui caractérise tant d’objets connectés, en particulier ceux fabriqués rapidement à moindre coût par des fabricants qui semblent plus préoccupés par l’échange standard que par le SAV. Le fait qu’une faille existe, et dans notre cas une faille plutôt sérieuse, n’a aucune incidence sur son éventuelle correction.

Nous sommes peut-être un peu trop pessimiste ici mais c’est une question fondamentale. Quiconque achète un produit qui ne pourra pas, ou ne sera pas mis à jour, a fait l’acquisition d’un appareil avec une espérance de vie très courte.

On dit parfois que les utilisateurs ne s’intéressent pas suffisamment à la sécurité qui leur permettrait pourtant de garder un minimum de contrôle, et ce dans leur propre intérêt. Et malgré tout, il est tout de même difficile d’imaginer que ceux qui achètent une webcam, censée être utilisée à l’intérieur de leur maison, seraient ravis d’apprendre que des cybercriminels en ont pris le contrôle.

Cette histoire s’ajoute à une longue liste d’aberrations, qui finit par lasser, concernant la sécurité des objets connectés, comme par exemple les nombreuses applications utilisées pour contrôler ces appareils mais qui présentent des faiblesses notables en matière de cybersécurité.


Billet inspiré de Millions of consumer smart devices exposed by serious security flaw, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.