NAME:WRECK, tout en majuscules, retenez ce nom. Il s’agit d’un lot de neuf vulnérabilités découvertes par les chercheurs des entreprises spécialisées Forescout et Jsof. Elles affecteraient plus de 100 millions d’appareils dans le monde, principalement des objets connectés, d’après les estimations de Wired. Correctement exploitées, ces failles permettent soit d’envoyer des attaques par déni de service (DDoS) capables de faire crasher l’appareil, soit de prendre le contrôle de l’appareil à distance (dans le jargon, on parle d’une faille RCE).

L’inquiétude se concentre sur les objets connectés utilisés dans l’industrie, plutôt que sur ceux utilisés par les particuliers. On parle de machines à l’œuvre dans les hôpitaux, d’outillages essentiels aux chaînes de productions de voiture, et d’équivalents dans toutes sortes d’industries. Finement exploitées, ces vulnérabilités pourraient servir de point de départ pour des attaques d’ampleur contre des établissements entiers.

nokia-logo.png

Les malfaiteurs pourraient prendre le contrôle de l’appareil à distance. // Source : Louise Audry pour Numerama.

Plus précisément, les failles NAME:WRECK se situent dans les librairies TCP/IP utilisées par ces appareils. Ce sont des lignes de code plutôt simples, situées dans le « firmware » des objets, une couche logicielle profonde responsable des fonctions basiques de l’appareil. Elles sont responsables de la façon dont l’appareil va se connecter à d’autres. Autrement dit, cette partie du logiciel est invisible pour les utilisateurs, et certains constructeurs ne savent même pas quelle librairie ils utilisent.

Des failles déjà réparées, mais…

Les chercheurs de Forescout ont cherché les vulnérabilités dans 15 librairies différentes, et en ont découvert dans 7 d’entre elles. Grossièrement, le type de vulnérabilité exposé dans cette recherche se trouve dans la façon dont ces appareils vont se connecter à Internet — ou plutôt, dans la façon dont ils vont obtenir leur adresse web de destination. Avant de publier son rapport, l’entreprise a pris le soin de contacter les développeurs de ces librairies, ainsi que les organisations qui les utilisent.

Résultat : chaque vulnérabilité a reçu un correctif. Mais cela ne signifie pas forcément que les failles vont être réparées, car la mise à jour n’est pas facile à faire.

  • Déjà, le firmware ne dispose que très rarement d’un mécanisme de mise à jour automatique, ce qui signifie qu’il faut le faire manuellement, pour chaque appareil.
  • Ensuite, le patch s’applique aux versions récentes des librairies, et bon nombre d’appareils utilisent d’anciennes versions.
  • Plus généralement, certaines entreprises n’ont même pas le contrôle du composant vulnérable, et ne savent pas forcément quelle librairie est utilisée…

À cause de ces problèmes, non seulement les failles seront loin d’être réparées sur tous les appareils, mais même de nouveaux appareils pourraient y être sensibles. Reste à voir si les cybercriminels parviendront à saisir cette opportunité pour lancer des attaques.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !