100 millions d'objets connectés potentiellement concernés par de nouvelles failles de sécurité

Félix Cattafesta |

Le mois dernier, les firmes de sécurité Forescout et JSOF ont annoncé avoir découvert neuf nouvelles failles de sécurité qui concernent un grand nombre d'appareils. Ces brèches se situent dans l'implémentation du DNS de quatre piles TCP/IP (les requêtes gérant la connexion entre les appareils et internet) qui sont omniprésentes dans le monde des objets connectés.

Nommées NAME:WRECK, ces vulnérabilités se retrouvent sur différents OS et logiciels, par exemple sur le système pour serveur FreeBSD. Si ces failles venaient à être exploitées, les hackers pourraient prendre le contrôle d’appareils à distance et les rendre hors d’usage. D’autres secteurs pourraient être touchés : on pense au domaine de la santé et aux récentes vagues de cyber attaques ayant paralysé différents hôpitaux. Les chercheurs estiment que 100 millions d’objets connectés sont potentiellement concernés.

La bonne nouvelle est qu’il existe déjà des patchs pour ces failles, et Forescout a depuis diffusé un script open source permettant de tester si un serveur est vulnérable. Le problème reste de savoir si les correctifs pourront être appliqués. Certaines entreprises ne proposent plus de mise à jour de sécurité pour leurs appareils. Avec le recours massif au télétravail et la méconnaissance en sécurité informatique du grand public, les risques sont grands. Heureusement, les chercheurs estiment que ces failles n’ont pour le moment pas été utilisées à grande échelle.


avatar anton96 | 

Déjà d’où il en a 100 million.

avatar Sic transit | 

Excellente nouvelle : "il y a un patch"… Personne ne voit donc où cela nous mène ?

avatar 7X | 

Avec les objets connectés, ce n'est qu'un début. Tous les vendredi soir mise à jour de la TV, des ampoules, des stores, des brosses à dents, des slips.... 45 mn de "détente" en rentrant du boulot.

avatar b_eddy | 

Haha! Tellement de choses à prévoir avec ces objets connectés. Et pas que du bon.

avatar marc_os | 

> Certaines entreprises ne proposent plus de mise à jour de sécurité pour leurs appareils

Dans ce cas il faut isoler totalement ces appareils du réseau Internet, et si ça pose problème, attaquer les fabricants pour vice caché.
D'ailleurs je ne comprends pas comment un hôpital peut avoir des machines connectées à Internet. Si c'est le cas, elles devraient être connectées uniquement à un réseau local lui même isolé d'Internet.

avatar Rajindael | 

@marc_os

Tu sais, les centrales nucléaires aussi sont connecté à internet. Seulement dans ce cas là, les moyens sont mis pour surveiller et prévenir les intrusions.

L’informatique a été amené comme qqch de simple et sans besoin de connaissance spécifiques auprès du grand public.
Pour les entreprises c’est souvent un point de dépense, toujours trop cher.

C’est pas tant une question de vice caché, c’est essentiellement un manque flagrant de connaissance sur les bonnes pratiques et de moyens engagés pour protéger ce qui doit l’être de la manière la plus adéquat.

Cependant, je suis d’accord sur le fait qu’une obligation de support et mise à jour serait utile (sur une période données), quitte à augmenter les prix de certains bidules.

avatar b_eddy | 

Obsolescence de ces objets est un danger.

avatar Mike Mac | 

Ce sera rigolo quand les Airtags vont se mettre à débiter des prières de muezzins ou des trucs comme "Hello, i'm gay !" au lieu du bip bip attendu !

avatar Sindanárië | 

@Mike Mac

Ça fait peur hein

avatar fredsoo | 

Quel bonheur en perspective…..

avatar ney | 

Je travaille en informatique embarquée et beaucoup de merdes (chinoises pour la plupart …) n’offrent même pas la possibilité de mettre à jour le système …

avatar Ecrapince | 

Il devrait y avoir des obligations légale en occident sur le matériel réseau qu'embarque toutes ces saloperies connectés, pour leur interdire matériellement de dépasser une quantité de données transmissible/recevable.

Si on se retrouve avec des chaussettes ou des chaussures connectées qui ont la possibilité de faire du 100Mbit/s voir du gigabit et avec les offres fibres qui se développent... Les botnets monstrueux que ça va créer.
De quoi paralyser un petit état ou un FAI en étant en assis sur sa chaise GAMING et la main dans le slip depuis sa chambre chez papa et maman.

avatar zoubi2 | 

Waouh ! Les commentaires !!! 😳 🥵 😭

avatar YetOneOtherGit | 

@zoubi2

"Waouh ! Les commentaires !!! 😳 🥵 😭"

Y a effectivement du niveau 🥺

avatar Alex Giannelli | 

@zoubi2

Je me disais exactement la même chose ˆˆ

avatar 7X | 

C'est peut-être l'occasion de s'interroger sur la réelle pertinence de ces objets connectés. Faire le ratio entre plus-value fonctionnelle et nouvelles contraintes.

avatar Rajindael | 

@7X

Même plus largement, si un appareil technologique A, est 2 fois moins cher que le B, avec en apparence les même spec materiel/fonctionnel, c’est probable que des concessions aient été fait sur ce qui ne se voit pas : l’implémentation et le support.

Vouloir du moins cher que pas cher, et râler pq on a pas les mises à jours…

avatar smog | 

@7X : c'est ce que j'allais dire. Quand je vois autour de moi l'affairement autour de la domotique, je me demande parfois où je me trouve. Allumer son chauffage depuis chez soi, je trouve ça utile, mais changer la couleur de ses lampes ou bien commander ses volets depuis internet... Bon.
Bref, tout ça me rassure finalement. Si seulement ça peut un jour mettre un peu de réflexion... Parce que j'aimerais savoir, parmi les objets connectés, ceux qui ont vraiment une utilité (c'est-à-dire une plus-value par rapport à ce qui existait en "non-connecté"), et plus précisément chez les particuliers (par ce que la médecine, l'industrie, c'est un autre domaine !)

avatar Stéf06 | 

@smog

Un incendie se déclare : la serrure de la porte s’ouvre et les lampes s’allument en plus de la sirène.
J’arrive chez moi en hiver: il y fait bon. Mon chauffage s’est allumé peu de temps avant que je n’arrive. Économie d’énergie et confort.
Le livreur sonne chez moi, je ne suis pas là. Je répond à la sonnette connectée, lui parle, coupe l’alarme et lui ouvre la porte pour qu’il dépose le colis dans le couloir. Je visualise le tout à l’aide de la caméra intérieure.
Je pars de chez moi, tout s’éteint, lumières, chauffage ou climatisation, etc… Et l’alarme s’enclenche.
Mon IRobot Roomba sort de sa base, la luminosité est trop faible pour qu’il travaille correctement, les lumières s’allument. Et s’éteignent lorsqu’il retourne à sa base.
Les prises connectées coupent l’alimentation des appareils en veille, qui pour certains consomment autant qu’en marche.
J’ai une cuisine ouverte: la fumée de cuisson pollue l’air: le Purificateur entre en scène automatiquement.
Je dis bonne nuit à Siri: elle s’assure que tous les accès sont fermés, l’alarme enclenchée, les lumières éteintes, ainsi que tous les appareils qui n’ont pas lieu d’être allumés la nuit.
Beaucoup de confort, l’aspect pratique, la sécurité, les économies d’énergie.

avatar fendtc | 

@Stéf06

Personnellement j‘ai aussi des thermostats intelligents qui me permet d’avoir bien chaud l‘hiver tout en faisant des économies d’énergie!
Mais ce sont des boîtiers Bluetooth… ils n‘ont pas accès à internet, ils n‘ont pas d‘IP et ne sont donc pas accessibles directement depuis l‘autre bout de la planète!
Pourquoi faut il que chaque petit objet soit connecté à internet pour que le serveur de je ne sais qui pilote mon objet??? Et si le service ferme? Et si il n‘y a plus de MaJ?
C‘est pas parce que c‘est techniquement possible qu‘il faut le faire… car ça n‘a pas forcément de sens!!!

avatar Stéf06 | 

@fendtc

Et bien dans ce cas précis, le mien calcule la distance à laquelle je suis de mon domicile, le temps qu’il me faudra pour rentrer chez moi, et selon l’inertie du bâtiment, et fonction de la température intérieure et de celle extérieure, le temps qu’il faudra pour atteindre la température de consigne. Il déclenche ensuite le chauffage, ou la climatisation selon la saison, hiver ou été au bon moment. Le Bluetooth ne permet pas cela. Et cela marche évidemment avec tous les membres de la famille. Tous les autres exemples que j’ai cités plus haut, ne seraient pas possibles non plus sans connexion. Ou seraient moins efficaces. N’allons pas croire que les gens connectent leurs objets, sans qu’ils y trouvent un réel intérêt.
Je te donne un autre exemple : il y a deux jours de ça, un ami devait récupérer un objet qu’il m’avait prêté et en avait besoin urgemment. Il lui a suffit de m’appeler pour que je lui ouvre la porte et qu’il le prenne. Alors que j’étais au boulot.
Et n’est-il pas utile d’avoir une alarme connectée qui te prévient en ton absence d’une tentative d’effraction ? Ou d’un départ d’incendie ? Pour moi, c’est évident. Et puis il existe HKS maintenant. Et quant aux risques de ne plus avoir de maj, il s’avère que les objets connectés compatibles HomeKit, sont proposés par des constructeurs à même de payer sa dîme à Apple ; généralement de grandes marques qui ne feront pas faillite de sitôt je pense. Pour conclure, j’ai connecté chez moi tout ce que je pouvais. Cela m’a ouvert bien des possibilités et je ne voudrais pas revenir en arrière.

avatar fendtc | 

@Stéf06

Dans ces cas, LA bonne solution est une passerelle qui est le SEUL point avec accès à distance…
C’est donc le seul point de vigilance accrue. Et comme c‘est un „simple PC“ (pas de grosse contrainte d’embarqué, de batterie ou autre) il est beaucoup plus simple à sécuriser et à mettre à jour !!!
Dans les entreprises, on parle d’intranet « inaccessible depuis internet » et de DMZ avec les services ayant besoin d’internet dans un sens ou dans l’autre depuis plus de 20 ans … il faudra bien que les particuliers en arrivent à la même chose tôt ou tard!!!
Et les belles idée d’IPv6 « autorisant une adresse publique à chaque objet connectée » sont pour moi à fuir comme la peste!!!

avatar Stéf06 | 

@fendtc

@fendtc

Je suis d’accord et dispose d’ailleurs d’un routeur eero à cet effet. La sécurité est importante.

avatar YetOneOtherGit | 

Trop d’acteurs, trop d’ouverture, trop de liberté…

Un marché des IoT consolidé aux mains d’une poignée de majors contrôlants des écosystèmes fermés : il n’y a que ça de vrai 😈😂😉

CONNEXION UTILISATEUR