« En 2012, des pirates ont pu accéder à 4,5 millions de modems ADSL au Brésil, en raison d’une faille dans le firmware de ces appareils », explique Tom Gaffney, conseiller en sécurité chez F-Secure, dans un nouvel article du magazine CED.
Ici, les pirates ont eu recours à une attaque exploitant des services intermédiaires pour récupérer des identifiants bancaires. Dans d’autres situations, les criminels utilisent des routeurs pour rediriger les utilisateurs vers des sites Web malveillants. Ces appareils constituent aujourd’hui l’outil de prédilection des hacktivistes et extorqueurs qui s’en servent pour créer des botnets afin de lancer des attaques à plus grande échelle.
Les vulnérabilités persistantes des routeurs sont de mauvais augure pour l’IoT, secteur en pleine expansion.
« Les routeurs n’ont pas une, mais plusieurs failles. C’est ce qui les rend aussi sensibles aux attaques », continue Tom Gaffney. Dans la suite de l’article, il se penche sur le principal problème des routeurs : le firmware, c’est-à-dire le « logiciel qui contrôle leurs fonctions de base ».
Comme tout logiciel, le firmware doit être mis à jour régulièrement pour fonctionner correctement et bénéficier de la meilleure protection qui soit. Si les smartphones et ordinateurs sont aujourd’hui régulièrement mis à jour, les développeurs n’ont quant à eux pas encore pris les mesures nécessaires pour garantir la sécurité des routeurs (mise à jour à l’aide de patchs correctifs, par exemple).
« Sur son blog, Mark Shuttleworth, le fondateur de la distribution Linux Ubuntu, compare les firmwares à un “bourbier sécuritaire”. Les utilisateurs n’ont pas encore l’habitude de mettre à jour des appareils comme les routeurs ou d’installer des correctifs de sécurité », explique Tom Gaffney. « Contrairement aux logiciels que l’on installe sur nos ordinateurs, les firmwares ne proposent aucune notification sur d’éventuels problèmes. C’est donc à l’utilisateur de se tenir au courant en surveillant le site Web du fabricant. »
Comme l’a précisé Adam Pilkey l’été dernier, la mise à jour régulière du firmware du routeur figure parmi nos trois recommandations clés en matière de sécurité domotique.
Pour autant, ce processus n’est pas aussi simple qu’une mise à jour d’applications sur ordinateur ou smartphone. Nombre d’utilisateurs ne savent d’ailleurs pas comment ni quand y procéder. Pour la plupart des routeurs, il est impossible d’effectuer une mise à jour automatique ou sur Internet. De manière générale, il faut télécharger la mise à jour sur un ordinateur, avant de l’installer sur le routeur.
Il existe quelques guides en ligne expliquant le fonctionnement de base, mais pour savoir quand et comment procéder à une mise à jour, il faut consulter le site du fabricant pour des instructions spécifiques.
Si votre routeur date un peu et qu’il n’a pas été régulièrement mis à jour, il est peut-être plus judicieux d’en racheter un. En effet, au bout d’un certain temps, les fabricants ne proposent généralement plus de mises à jour, même si l’appareil fonctionne encore parfaitement. De plus, beaucoup de nouveaux routeurs offrent de nouvelles fonctionnalités. Sean Sullivan [conseiller en sécurité chez F-Secure] reconnaît que certaines d’entre elles (comme l’accès invité) garantissent non seulement une sécurité renforcée, mais également une meilleure compatibilité avec les appareils domotiques, qui sont de plus en plus diversifiés et nombreux.
Les firmwares pourraient aisément devenir la kryptonite des objets connectés, poursuit Tom Gaffney : nous devons appliquer ce que nous avons appris en matière de sécurité avec les routeurs.
« Les routeurs sont semblables aux appareils connectés, et ce, même s’ils ne sont pas vraiment considérés comme tels », affirme Tom Gaffney. « Petits et peu coûteux, ils possèdent un nombre de fonctionnalités limité comparé aux smartphones et aux ordinateurs. Il ne serait donc pas surprenant que les routeurs soient remplacés par un nouveau genre d’appareils connectés qui combinerait les fonctions d’un routeur avec une télévision, un réfrigérateur, un thermostat ou tout autre type de produit. »
Compte tenu du volume de données personnelles stockées par ces objets, il est essentiel pour les consommateurs de protéger ces appareils.
« Il est important de comprendre que l’interconnexion de plusieurs appareils, routeurs, objets connectés, ordinateurs ou téléphones, crée de fait un véritable réseau. Si l’un des éléments de ce réseau n’est pas protégé, c’est le réseau dans son ensemble (appareils et données inclus) qui est compromis. »
Si Tom Gaffner craint qu’il y ait « de grandes chances pour que la vulnérabilité des firmwares affecte à terme les objets connectés », il ne perd pas pour autant tout espoir.
« Les firmwares évoluent et font désormais office de systèmes d’exploitation légers qui permettent de gérer facilement des appareils aux fonctionnalités limitées (comme les routeurs et les objets IoT), grâce à des mises à jour automatiques ou encore des notifications. »
Mais la vraie question, comme toujours, c’est de savoir s’ils évolueront plus rapidement et efficacement que les méthodes de piratage.
Catégories