Dans un monde ultra-connecté, la sécurité est primordiale.

Malheureusement, une étude du spécialiste autrichien de la sécurité SEC Consult confirme les craintes de nombreux professionnels, et la paresse impardonnable de très nombreux fabricants d’objets connectés, routeurs, passerelles, modems, téléphones et caméra IP, qui met en danger de nombreux utilisateurs.

Stefan Viehböck, un consultant principal de SEC Consult a analysé le micrologiciel de 4 000 modèles d’appareils de 70 vendeurs. Il a trouvé 580 clés privées sauvegardées en dur dans les micrologiciels. Et ces passe-partout correspondent aux certificats utilisés par 9 % de tous les hôtes HTTPS sur le Web, et de 6 % de tous les hôtes SSH sur le Web. SSH est un protocole chiffré qui permet de se connecter à distance pour administrer un serveur ou un appareil. Le même très petit nombre de passe-partout expose des millions d’appareils à des attaques de masse, quand ils auraient dû chacun avoir une clé différente.

Un problème soulevé par la sauvegarde statique dans un modèle d’appareil, est que tous les appareils qui utilisent le même micrologiciel utilisent aussi la même clé. Pire, la même clé est souvent trouvée sur des appareils de fabricants différents. Il semblerait que nombre de fabricants se contentent de copier le code source exemple d’un kit de développement fourni avec un composant, sans même le modifier, et sans supprimer les clés de chiffrement des exemples. Et comme un très petit nombre de fabricants ODM fabrique des produits en marque blanche pour de nombreux vendeurs, le problème s’accroît d’autant.

Les utilisateurs de ces millions de périphériques sont donc à la merci d’attaques de l’homme du milieu, d’impostures, et de déchiffrements passif.

Même si elles sont plus difficiles quand le pirate n’est pas connecté au réseau local, ces attaques pourraient permettre à des pirates de prendre le contrôle d’appareils dont la configuration autorise la connexion à distance HTTPS, ou l’administration à distance SSH. Que ce soit parce que les options sont autorisées par défaut par le fabricant, ou parce que l’utilisateur les a activées. Un piratage souvent facilité par des fournisseurs d’accès Internet qui exposent les appareils de leurs clients à Internet. On sera heureux d’apprendre que la France ne fait pas partie des dix pays les plus exposés :

SEC_Consult_affected_hosts

 

Idéalement, les vendeurs ou fabricants devraient s’assurer que chaque appareil utilise une clé unique aléatoire, calculée à l’usine, ou lors du premier démarrage. SEC Consult travaille depuis août avec le CERT pour informer les 50 fabricants des 900 modèles d’appareils affectés.

L’utilisateur final, dans le doute, devrait changer les clés SSH et les certificats X.509 de leurs appareils. Une opération qui demande un certain savoir-faire, et qui n’est pas réalisable sur tous les modèles.