Ouvrir le menu principal

MacGeneration

Recherche

Boa : des pirates abusent de failles dans de vieux logiciels open source pour cibler des appareils connectés

Félix Cattafesta

jeudi 24 novembre 2022 à 11:00 • 19

Logiciels

L'abandon de vieux logiciels open source n'est pas sans conséquences. Microsoft révèle dans un billet de blog avoir détecté plusieurs attaques visant un composant de Boa, un logiciel de serveur abandonné en 2005. Celui-ci est toujours largement utilisé dans plusieurs gammes de routeurs et de caméras de sécurité, mais aussi par certains SDK populaires permettant de faire fonctionner des systèmes sur puce.

Carte des serveurs web Boa sur des appareils ayant accès à internet. Image : Microsoft.

Les failles permettent un accès à des données très sensibles (comme des mots de passe), mais aussi d'exécuter du code non autorisé. La firme de Redmond s'est rendu compte de l'ampleur du problème en enquêtant sur des attaques visant des réseaux électriques indiens. Ces attaques ont tout particulièrement ciblé des dispositifs IoT exécutant Boa et étant donc soumis à des vulnérabilités critiques non corrigées.

Microsoft note qu'étant donné que plus personne ne développe Boa, ses failles connues peuvent permettre aux pirates de récolter discrètement de nombreuses données. Boa est souvent utilisé pour accéder aux consoles de configuration et de gestion ainsi qu'aux écrans de connexion des appareils.

Selon Microsoft, les risques liés à Boa pourraient concerner « des millions d'organisations et d'appareils ». Il ajoute qu'il est possible que les utilisateurs ne sachent pas que des composants de Boa sont utilisés par les produits et qu'ils disposent donc de failles ne pouvant être résolues par des mises à jour logicielles.

Résoudre le problème est compliqué : Boa reste très utilisé et se « cache » dans les équipements connectés. L'entreprise recommande aux fabricants et aux opérateurs réseau de patcher les engins vulnérables lorsque cela est possible et de faire en sorte de repérer les appareils pouvant être facilement détournés.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

La première puce maison d'OpenAI serait en bonne voie

10/02/2025 à 21:15

• 2


Apple met en ligne macOS 15.3.1

10/02/2025 à 19:17

• 9


Lors des désinstallations, macOS 15.3 ne supprime pas bien les extensions du système

10/02/2025 à 18:30

• 11


BusyCal à petit prix et d’autres bonnes affaires chez BundleHunt

10/02/2025 à 16:07

• 5


OnlyOffice ouvre maintenant les fichiers iWork

10/02/2025 à 13:24

• 13


IA : Emmanuel Macron annonce 109 milliards d’euros d’investissements privés pour la France

10/02/2025 à 11:03

• 164


Trade In Apple Store : la valeur de reprise des Mac augmente (un peu) jusqu’au 2 avril

10/02/2025 à 10:45

• 6


pCloud : jusqu'à 58 % de remise sur les abonnements cloud à vie, c'est maintenant ! 📍

10/02/2025 à 10:22


L’iPhone doit tenir bon, en attendant l’éclosion de la robotique : la semaine de Gurman

09/02/2025 à 19:30

• 26


Numéro 1 de l’App Store, cette app de kayak cache en fait un service de streaming illégal 🆕

08/02/2025 à 11:09

• 125


Notre avis sur Deblock, la néobanque qui réunit un compte courant et un portefeuille crypto

08/02/2025 à 11:09

• 14


Sortie de veille : une app porno sur iPhone, un véritable scandale ?

08/02/2025 à 08:00

• 34


Magazine des 25 ans : plus que quelques jours pour précommander votre exemplaire

07/02/2025 à 22:30

• 25


Le parquet de Paris ouvre une enquête sur X pour manipulation d’algorithme

07/02/2025 à 22:00

• 100


Un ex-ingénieur d’Apple viré pour avoir divulgué des projets en cours fait des excuses publiques

07/02/2025 à 21:00

• 21


Un des développeurs d'Asahi Linux abandonne son travail sur le noyau Linux à cause d'une querelle d'ego

07/02/2025 à 20:00

• 12