Boa : des pirates abusent de failles dans de vieux logiciels open source pour cibler des appareils connectés

Félix Cattafesta |

L'abandon de vieux logiciels open source n'est pas sans conséquences. Microsoft révèle dans un billet de blog avoir détecté plusieurs attaques visant un composant de Boa, un logiciel de serveur abandonné en 2005. Celui-ci est toujours largement utilisé dans plusieurs gammes de routeurs et de caméras de sécurité, mais aussi par certains SDK populaires permettant de faire fonctionner des systèmes sur puce.

Carte des serveurs web Boa sur des appareils ayant accès à internet. Image : Microsoft.

Les failles permettent un accès à des données très sensibles (comme des mots de passe), mais aussi d'exécuter du code non autorisé. La firme de Redmond s'est rendu compte de l'ampleur du problème en enquêtant sur des attaques visant des réseaux électriques indiens. Ces attaques ont tout particulièrement ciblé des dispositifs IoT exécutant Boa et étant donc soumis à des vulnérabilités critiques non corrigées.

Microsoft note qu'étant donné que plus personne ne développe Boa, ses failles connues peuvent permettre aux pirates de récolter discrètement de nombreuses données. Boa est souvent utilisé pour accéder aux consoles de configuration et de gestion ainsi qu'aux écrans de connexion des appareils.

Selon Microsoft, les risques liés à Boa pourraient concerner « des millions d'organisations et d'appareils ». Il ajoute qu'il est possible que les utilisateurs ne sachent pas que des composants de Boa sont utilisés par les produits et qu'ils disposent donc de failles ne pouvant être résolues par des mises à jour logicielles.

Résoudre le problème est compliqué : Boa reste très utilisé et se « cache » dans les équipements connectés. L'entreprise recommande aux fabricants et aux opérateurs réseau de patcher les engins vulnérables lorsque cela est possible et de faire en sorte de repérer les appareils pouvant être facilement détournés.


avatar marc_os | 

L'open source... ça ne devait pas être la panacée en matière de sécurité, garantissant que la communauté s'occupe des problèmes et surveille et valide ce qui est codé ?

avatar raoolito | 

@marc_os

si si
le paradis

avatar dodomu | 

@marc_os

Ça ne le garantit pas, mais ça le permet, contrairement au logiciel non ouvert qui ne le garantit ni ne le permet.

avatar Chris K | 

@dodomu

Exactement.

avatar Bouledeneige | 

Les chercheurs en sécurité ont des outils permettant d'auditer les applications "close-source" avec certains outils qui permettent de décompiler et effectuer une rétro ingénierie.

avatar dodomu | 

@Bouledeneige

Bien sûr, mais un tel audit ne sera jamais aussi complet que celui qui aurait pu être réalisé avec le code source librement accessible 😉
Et avoir le code source accessible permet, justement dans des cas de faille de sécurité d’un outil abandonné mais largement utilisé, de le corriger, même si l’entreprise a l’origine disparaît, ce qui n’est pas faisable raisonnablement pour un logiciel propriétaire.

avatar lmouillart | 

En l'occurrence le serveur BOA est abandonné depuis 2005.
Ensuite il ne faut pas confondre un produit avec un firmware libre et reconstructible et un fournisseur qui va utiliser une vieille brique libre dans le coin de son logiciel bien propriétaire et non maintenable.
Enfin il ne faut pas confondre fait et faisable.

avatar koko256 | 

@marc_os

C'est sur qu'un logiciel développé en 2 jours pat les chinois (ou n'importe qui) mais sans sources publiques et sans aucune mise-à-jour, c'eût été mieux 😂😂😂
MacG, le panacée du commentaire à côté ♥️

avatar Bouledeneige | 

Opensource signifie que le code source de l'application et visible par tout le monde. Cela ne signifie pas que l'application est sécurisé. Les applications dont le code source n'est pas accessible ne signifie pas que l'application est sécurisé. Sécurité et licence sont deux choses bien différente !

avatar occam | 

@marc_os

> « …ça ne devait pas être la panacée…? »

Non. Pas de panacée. Il n’y en a pas. Et il ne s’agit pas de ça.
Comme vous êtes parfaitement qualifié pour le savoir.

Vous venez de réaliser un doublet :
• médaille du jour « Tim Cook » pour l’hypocrisie la plus transparente
• médaille du jour « J’me colle un tableau » pour la provoc gratuite la plus cheap

Bravo et félicitations ! 🎖🏅

avatar nykk | 

C'est sûr qu'entre ces commentaires et certains sur Hubic sur un autre fil (un bel émoji de caca comme réponse), ça vole de plus en haut ici : on se croirait parfois dans une secte...

avatar marc_os | 

@ occam

Tsss.
Comme s'il n'y avait jamais eu de commentaires ici pour venter les mérites de l'open-source sans justement en montrer limites.
C'est à ce genre de commentaire angélique que vous voulez ignorer que je faisais allusion, en répondant par... surprise, par des attaques personnelles.

Bravo et félicitations ! 🌟

avatar DP-Britto | 

L'open-source est forcément angélique puisque n'importe qui peut lire le code source du service, de l'application en question. Libre à cette personne ensuite d'utiliser l'application. Surtout dans l'article, on parle de services à l'abandon depuis X années, plus mis à jour du coup et en plus les failles sont connues, fallait donc bien s'attendre à ça un jour ou l'autre.

Après, si vous n'êtes pas assez intelligent pour le comprendre, libre à vous.

avatar marc_os | 

@ DP-Britto

Visiblement vous n'êtes pas capable de votre côté de comprendre que je ne dis pas le contraire, tellement vous tenez à me contredire avec la meute des occam.
 
Ce genre de mentalité aboutit à des menaces de mort sur les réseaux sociaux, et dans le monde réel à des lapidations, des lynchages ou des exécutions comme l'a amèrement pu le constater la famille d'un certain instituteur dont des extrémistes ont volontairement déformé la parole. Oui oui je vais loin, mais regardez bien, la logique est la même :
"Faut pas caricaturer le Dieu Open-Source".

avatar DP-Britto | 

N'est-ce pas vous qui tenez des propos hors sujet sur l'open source sans comprendre la démarche. Oups pardon...

Vous allez même très très loin, un peu trop loin. Va falloir prendre quelque chose pour se détendre là même.

avatar raoolito | 

je doute qu’on puisse mettre a jour les objets connectés dans leur totalité
quand on pense à tout ceux qui ne savent pas comment mettre à jour son smartphone. Alors j’imagine bien mettre à jour le firmware de la caméra connectée ou du routeur…

on a de la chance en France, les box sont assez correctement tenu au niveau sécurité par les opérateurs de chez Apple, passer à la nouvelle mise à jour est quelque chose que l’on peut pas ignorer 😸

avatar pommecroquee | 

Ça touche potentiellement n’importe quel logiciel, open source ou non, à partir du moment où il est encore utilisé mais plus maintenu. Pointer l’open source du doigt, c’est un peu de la mauvaise foi.

avatar xDave | 

C’est surtout les fabricants qui n’en ont rien à battre et n’ont pas fait le boulot de maintenance.

avatar 7X | 

Nous aurons bientôt tous les soirs notre routine "mises à jour d'IoT" : brosse à dents connectée, vélo connecté, porte connectée, voiture connectée, chaussettes connectées, dérouleur de papier toilette connecté....

CONNEXION UTILISATEUR