Ouvrir le menu principal

MacGeneration

Recherche

Boa : des pirates abusent de failles dans de vieux logiciels open source pour cibler des appareils connectés

Félix Cattafesta

jeudi 24 novembre 2022 à 11:00 • 19

Logiciels

L'abandon de vieux logiciels open source n'est pas sans conséquences. Microsoft révèle dans un billet de blog avoir détecté plusieurs attaques visant un composant de Boa, un logiciel de serveur abandonné en 2005. Celui-ci est toujours largement utilisé dans plusieurs gammes de routeurs et de caméras de sécurité, mais aussi par certains SDK populaires permettant de faire fonctionner des systèmes sur puce.

Carte des serveurs web Boa sur des appareils ayant accès à internet. Image : Microsoft.

Les failles permettent un accès à des données très sensibles (comme des mots de passe), mais aussi d'exécuter du code non autorisé. La firme de Redmond s'est rendu compte de l'ampleur du problème en enquêtant sur des attaques visant des réseaux électriques indiens. Ces attaques ont tout particulièrement ciblé des dispositifs IoT exécutant Boa et étant donc soumis à des vulnérabilités critiques non corrigées.

Microsoft note qu'étant donné que plus personne ne développe Boa, ses failles connues peuvent permettre aux pirates de récolter discrètement de nombreuses données. Boa est souvent utilisé pour accéder aux consoles de configuration et de gestion ainsi qu'aux écrans de connexion des appareils.

Selon Microsoft, les risques liés à Boa pourraient concerner « des millions d'organisations et d'appareils ». Il ajoute qu'il est possible que les utilisateurs ne sachent pas que des composants de Boa sont utilisés par les produits et qu'ils disposent donc de failles ne pouvant être résolues par des mises à jour logicielles.

Résoudre le problème est compliqué : Boa reste très utilisé et se « cache » dans les équipements connectés. L'entreprise recommande aux fabricants et aux opérateurs réseau de patcher les engins vulnérables lorsque cela est possible et de faire en sorte de repérer les appareils pouvant être facilement détournés.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Un SMS, un clic… et des données envolées : pourquoi Incogni devient indispensable  📣

10:00

• 0


Aperçu des nouveautés de Raccourcis dans iOS 26 et macOS 26 : Apple intègre (presque) un chatbot

08:00

• 18


Test du Twelve South AirFly Pro 2 : pour s’enfiler en l’air

05/07/2025 à 11:00

• 9


Sortie de veille : un MacBook avec une puce d’iPhone, attrape-nigaud ou coup de génie ?

05/07/2025 à 08:00

• 27


Un dirigeant de Microsoft conseille aux plus de 9 000 employés licenciés de se faire aider par l’IA

04/07/2025 à 22:00

• 199


Apple fait ses emplettes dans les start-up, entre avatars virtuels et monitoring de l’IA

04/07/2025 à 21:00

• 1


Un premier pas vers le jailbreak de la Touch Bar : le système démarre en mode verbose

04/07/2025 à 17:45

• 28


MacBook Air M2 à 750 € ou Mac Studio M2 Max à 1 300 € ? Entre portable et fixe, il faut choisir

04/07/2025 à 15:22

• 28


Un (faux) traceur GPS sur les cartons des MacBook Air, pour dissuader les livreurs de les voler

04/07/2025 à 13:02

• 84


Un site web pour décoder les pages sauvées en .webarchive par Safari

04/07/2025 à 11:00

• 7


Ulanzi présente une station d'accueil au look de petit Mac Pro

04/07/2025 à 10:15

• 17


Promo : une batterie chameau de 27650 mAh capable de recharger Mac et iPhone à 114 € (-56 €)

04/07/2025 à 09:18

• 13


Développeurs : Technotes ajoute des notes de la communauté sur la documentation d’Apple

04/07/2025 à 08:33

• 5


L’iPhone redécolle en Chine, le Mac cartonne aux États-Unis : Apple souffle un peu avant les trimestriels le 31

04/07/2025 à 07:52

• 43


Apple a creusé l’idée de proposer des services de cloud computing aux développeurs pour concurrencer AWS

03/07/2025 à 21:45

• 51


Apple sort des fonds d’écran aux couleurs de son nouvel Apple Store à Osaka

03/07/2025 à 21:00

• 10