Des chercheurs de Forescout, spécialiste de la cybersécurité d'entreprise, révèlent dans un nouveau livre blanc une vulnérabilité zero-day affectant potentiellement des millions d'appareils connectés.
Cette faille provient de quatre bibliothèques open source TCP/IP largement utilisées.
L'équipe à l'origine de cette découverte a baptisé la vulnérabilité Amnesia : 33. Elle détaille chaque problème dans un livre blanc disponible sur le site de Forescout [PDF].
Forescout estime que cette faille impacte plus de 150 fournisseurs mondiaux. Des millions d'appareils sont vulnérables, des objets connectés domestiques aux dispositifs IoT industriels.
Les impacts potentiels sont variés, comme l'explique le livre blanc :
Ces vecteurs d'attaque peuvent causer des dommages majeurs, et leur correction s'avère complexe.
Les objets connectés sont souvent critiqués pour leurs failles, certains doutant même de leur supériorité sur les systèmes traditionnels. Aucune attaque exploitant Amnesia : 33 n'est documentée à ce jour, mais Forescout décrit des scénarios réalistes.
Cette pile réseau équipe de nombreux appareils, comme les prises intelligentes ou les capteurs de température, touchant particuliers et professionnels.
Dans un hôpital, un attaquant pourrait altérer la climatisation, les serrures connectées ou déclencher de fausses alarmes. En magasin, compromettre les capteurs pourrait paralyser les transactions et la gestion des stocks.
Ces cas extrêmes soulignent l'urgence : si les experts y songent, les cybercriminels aussi.
Les bibliothèques concernées sont des composants fondamentaux open source, librement modifiables par les développeurs.
Même mises à jour, leurs implémentations varient, avec des versions remixées et des codes potentiellement vulnérables.
La seule solution : les fabricants doivent auditer exhaustivement leurs logiciels, jusqu'au niveau matériel.
Malgré les efforts des vendors, Amnesia : 33 risque de faire parler d'elle encore longtemps.
