NAME:WRECK, tout en majuscules, retenez ce nom. Il s’agit d’un lot de neuf vulnérabilités découvertes par les chercheurs des entreprises spécialisées Forescout et Jsof. Elles affecteraient plus de 100 millions d’appareils dans le monde, principalement des objets connectés, d’après les estimations de Wired. Correctement exploitées, ces failles permettent soit d’envoyer des attaques par déni de service (DDoS) capables de faire crasher l’appareil, soit de prendre le contrôle de l’appareil à distance (dans le jargon, on parle d’une faille RCE).
L’inquiétude se concentre sur les objets connectés utilisés dans l’industrie, plutôt que sur ceux utilisés par les particuliers. On parle de machines à l’œuvre dans les hôpitaux, d’outillages essentiels aux chaînes de productions de voiture, et d’équivalents dans toutes sortes d’industries. Finement exploitées, ces vulnérabilités pourraient servir de point de départ pour des attaques d’ampleur contre des établissements entiers.
Les malfaiteurs pourraient prendre le contrôle de l’appareil à distance. // Source : Louise Audry pour Numerama.
Plus précisément, les failles NAME:WRECK se situent dans les librairies TCP/IP utilisées par ces appareils. Ce sont des lignes de code plutôt simples, situées dans le « firmware » des objets, une couche logicielle profonde responsable des fonctions basiques de l’appareil. Elles sont responsables de la façon dont l’appareil va se connecter à d’autres. Autrement dit, cette partie du logiciel est invisible pour les utilisateurs, et certains constructeurs ne savent même pas quelle librairie ils utilisent.
Des failles déjà réparées, mais…
Les chercheurs de Forescout ont cherché les vulnérabilités dans 15 librairies différentes, et en ont découvert dans 7 d’entre elles. Grossièrement, le type de vulnérabilité exposé dans cette recherche se trouve dans la façon dont ces appareils vont se connecter à Internet — ou plutôt, dans la façon dont ils vont obtenir leur adresse web de destination. Avant de publier son rapport, l’entreprise a pris le soin de contacter les développeurs de ces librairies, ainsi que les organisations qui les utilisent.
Résultat : chaque vulnérabilité a reçu un correctif. Mais cela ne signifie pas forcément que les failles vont être réparées, car la mise à jour n’est pas facile à faire.
- Déjà, le firmware ne dispose que très rarement d’un mécanisme de mise à jour automatique, ce qui signifie qu’il faut le faire manuellement, pour chaque appareil.
- Ensuite, le patch s’applique aux versions récentes des librairies, et bon nombre d’appareils utilisent d’anciennes versions.
- Plus généralement, certaines entreprises n’ont même pas le contrôle du composant vulnérable, et ne savent pas forcément quelle librairie est utilisée…
À cause de ces problèmes, non seulement les failles seront loin d’être réparées sur tous les appareils, mais même de nouveaux appareils pourraient y être sensibles. Reste à voir si les cybercriminels parviendront à saisir cette opportunité pour lancer des attaques.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
