L’Internet des Objets a besoin de la recherche de vulnérabilités pour survivre
Harry Sintonen, Senior Security Consultant chez F-Secure, s’est rendu chez Disobey la semaine dernière à Helsinki pour montrer à son audience comment les pirates prenaient l’avantage sur des appareils non-protégés. Harry s’est basé sur plusieurs vulnérabilités après avoir découvert plusieurs vulnérabilités dans un NAS (Network Attached Storage, Serveur de stockage en réseau) fabriqué par QNAP. Afin de s’assurer que les vulnérabilités pouvaient être utilisées pour “hacker” l’appareil, Harry a développé un exploit POC (un code qui utilise les vulnérabilités pour compromettre le système) qui lui permet de prendre le contrôle des appareils vulnérables.
Nous n’entrerons pas dans les détails techniques ici. Mais pour faire court, le POC de Harry manipule l’appareil alors qu’il tente de mettre à jour ses firmware. Un processus plus que facile pour Harry suite aux problèmes rencontrés par la machine pour se mettre à jour (comme une absence de chiffrement sur les demandes de mises-à-jour).
Le POC de Harry lui a permis de prendre le contrôle sur l’appareil. Il n’a pas essayé d’aller plus loin. Mais un hacker l’aurait fait. Après avoir pris le contrôle de l’apapreil, un attaquant aurait pu par exemple accéder à des données stockées, voler des mots de passe, ou même exécuter des commandes (par exemple, demander à l’appareil de télécharger des malware).
Inquiétant, non? La bonne nouvelle : les attaquants auraient besoin de se positionner pour intercepter la mise à jour avant de pouvoir manipuler l’appareil.
“La suite logique est de décourager les plus opportunistes ou les attaquants les moins doués.” déclare Janne Kauhanen, Cyber Security Expert chez F-Secure.
Mais la mauvaise nouvelle réside dans le fait que ce type de problème est monnaie courante dans les objets connectés. Dans ce cas de figure, Harry a informé QNAP de ces problèmes en février 2016. Néanmoins, à la connaissance de Harry, à ce jour, aucune parade n’a été trouvée (bien que QNAP déclare y travailler).
La recherche de vulnérabilités est vitale pour la protection de l’IoT
Ce n’est pas la première fois que Harry trouve des failles de sécurité dans des produits. L’été dernier, il a trouvé une vulnérabilité dans les routeurs domestiques Inteno, véritable backdoor pour les hackers.
“C’est tout bonnement incroyable de constater à quel point les appareils vendus ne sont pas protégés” déclarait Janne à l’époque. “D’autres sociétés de sécurité informatique et nous-mêmes trouvons des failles de sécurité dans les appareils en permanence. Les firmware utilisés dans les routers et l’Internet des Objets sont négligés par les constructeurs et leurs clients – bref, tout le monde sauf les hackers, qui utilisent les vulnérabilités pour s’introduire dans le réseau, voler des informations et répandre des malware.”
Les cherchers en sécurité mènent ce type de recheche car les constructeurs et les développeurs n’ont en général pas les ressources pour le faire eux même. Et si l’on considère le manque général de personnel spécialisé en cyber sécurité, ce n’est pas vraiment surprenant.
C’est pourquoi les entreprises (et non pas uniquement les sociétés spécialisées en sécurité informatique) investissent dans des recherches de vulnérabilités. Elles utilisent les programmes dits “bug bounty”. Microsoft, Facebook, et bien d’autres sociétés informatiques (dont F-Secure) offrent de l’argent à quiconque trouve des vulnérabbilités dans leurs produits. D’ailleurs, un enfant de 10 ans a reçu 10 000 dollars après avoir trouvé une vulnérabilité dans Instagram l’été dernier.
Mais malheureusement, la plupart des vulnérabilités ne sont pas découvertes à moins qu’un utilisateur ne s’en aperçoive. Ou pire encore, quand un hacker est pris la main dans le sac, en hackant les appareils.
Les appareils connectés se multiplient. Tout comme les problèmes de sécurité.
Alors prenez garde : si nous devons éviter la prochaine vague Mirai, ou pire encore, ce sera parce que quelqu’un aura pris le temps de trouver des failles de sécurité potentielles avant qu’elles ne soient utilisées à mauvais escient.
Catégories