Un nouveau livre blanc rédigé par des chercheurs de la société de sécurité d'entreprise Forescout a mis au jour une vulnérabilité affectant potentiellement des millions d'appareils connectés.
Le problème provient de vulnérabilités zero-day dans quatre bibliothèques de code TCP/IP open source largement utilisées.
L'équipe à l'origine du livre blanc a surnommé cette vulnérabilité Amnesia :33 , et décrivez chaque problème en détail dans un livre blanc disponible sur Forescout[PDF].
Forescout estime que la faille de sécurité affecte plus de 150 fournisseurs d'appareils connectés dans le monde. Des millions d'appareils sont potentiellement vulnérables, des appareils domestiques intelligents aux appareils de l'Internet des objets (IoT) utilisés dans les environnements industriels.
La vulnérabilité a plusieurs façons potentielles d'affecter une variété d'appareils, comme le souligne le livre blanc :
N'importe lequel de ces modèles d'attaque peut faire des ravages sur un système, et colmater le trou ne sera pas une tâche facile.
C'est loin d'être la première fois que des systèmes connectés présentent des défauts, certains se demandant même si des appareils comme Ring pourraient rendre votre maison moins sécurisée que les dispositifs de sécurité hors ligne traditionnels. Bien qu'il n'y ait jusqu'à présent aucune attaque documentée résultant de cette vulnérabilité, l'équipe Forescout a décrit quelques scénarios d'attaque crédibles.
La pile réseau utilisée est présente dans un grand nombre d'appareils connectés, y compris les prises intelligentes et les moniteurs de température, ce qui pourrait affecter les utilisateurs à domicile, mais aurait des conséquences bien plus graves dans les espaces publics.
Dans un établissement de soins de santé, par exemple, un attaquant pourrait accéder au réseau et causer des ravages, affectant potentiellement le système de température, les serrures connectées ou déclencher de fausses alarmes incendie. Dans un environnement de vente au détail, les capteurs de température connectés sont un point de faiblesse fréquent, et une fois sur le réseau, un pirate informatique pourrait mettre l'ensemble du magasin hors ligne, ce qui empêcherait de nombreux magasins d'effectuer des transactions ou de surveiller les stocks.
Bien sûr, ce sont les pires scénarios, mais comme pour tous les livres blancs sur la sécurité :si Forescout y a pensé, alors quelqu'un avec une intention malveillante l'a probablement fait aussi.
Les bibliothèques de code au centre d'Amnesia:33 sont les éléments de base de nombreux appareils en réseau. Ils sont tous open-source, ce qui signifie qu'ils sont librement disponibles pour être utilisés ou modifiés par les développeurs.
Même si ces bibliothèques de code sont toutes mises à jour, la nature de l'utilisation de code disponible gratuitement se traduit par des bibliothèques remixées, des implémentations uniques et de vastes zones de bases de code contenant du code potentiellement malveillant.
À ce stade, la seule façon de résoudre ce problème est que les entreprises assument la responsabilité individuelle et évaluent leurs implémentations logicielles, jusqu'au métal nu.
Même si la plupart des vendeurs le prennent au sérieux, je doute que ce soit la dernière fois que nous entendrons parler d'Amnesia :33.
