Le Cert US émet une alerte de sécurité sur le protocole Plug and Play

Des chercheurs en sécurité de Rapid7 ont mis le doigt sur des failles de sécurité du protocole Universal Plug and Play (UPnP). Aux Etats-Unis, le Cert a émis un avis de sécurité sur le sujet mais ne recommande pas forcément de le désactiver.

Le protocole Universal Plug and Play est utilisé pour de nombreux appareils mais comporte des vulnérabilités. Le constat est livré par Rapid7, une équipe de spécialistes en sécurité. Dans une étude, ils précisent avoir étudié 80 millions d'adresses IP transitant via ces appareils. Parmi ces dernières, entre 40 et 50 millions étaient vulnérables à « au moins un scénario d'attaque ».

Rapid7 indique également être parvenu à dresser une liste de 6 900 appareils vulnérables via ce protocole. Aux Etats-Unis, le Cert a réagi en émettant un bulletin d'alerte. Il confirme ainsi que ces failles peuvent permettre de mener des attaques à distance afin d'exécuter du code arbitraire sur l'appareil visé ou même de provoquer un déni de service.

Il ajoute que le SDK Open Source (libupnp) a pu être utilisé par de nombreux constructeurs, le nombre de cibles potentielles pourrait donc être important. C'est pourquoi il leur recommande de proposer un passage à une version mise à jour de cet outil.

L'organisme dresse une liste pour l'instant non-exhaustive des produits visés mais tient à préciser qu'elle ne recommande pas nécessairement la désactivation du protocole. Il conseille en revanche de veiller à ce que le pare-feu n'autorise pas d'accès via certains ports.