Des millions d'objets connectés menacés par une série de vulnérabilités baptisées Name:Wreck

13 avril 2021 à 15h49
9
Cybersécurité

Certains micrologiciels très largement utilisés dans nos objets connectés sont victimes d'un ensemble de neuf failles de sécurité.

Les failles de sécurité Name:Wreck menacent près de 100 millions d'objets connectés à travers le monde. Sont concernés notamment les produits liés à la domotique, aussi bien pour les consommateurs que pour les entreprises.

Des failles de sécurité DNS

Cette série de vulnérabilités, au nombre de neuf au total, a été découverte par des chercheurs en sécurité des sociétés Forescout et JSOF. Ces brèches peuvent permettre à des pirates de prendre le contrôle d'un objet connecté par exécution de code à distance, ou de le rendre inutilisable via une attaque par déni de service.

Les failles de sécurité ont été identifiées au niveau du DNS, et plus précisément au sein de quatre couches TCP/IP très utilisées. Le système d'exploitation FreeBSD, open-source, fait partie des composants logiciels touchés. Les autres sont Nucleus NET, un micrologiciel appartenant à Siemens, IPnet et NetX.

Fort heureusement, tous les appareils utilisant l'un de ces services ne sont pas sujets à Name:Wreck. Une très faible part serait vulnérable, mais le volume de machines que les chercheurs estiment menacé équivaut tout de même à 100 millions d'objets connectés.

Des patchs de sécurité déjà disponibles

Si ces failles Name:Wreck sont révélées aujourd'hui, c'est parce que des patchs de sécurité permettant de les combler sont d'ores et déjà disponibles.

Dans la très grande majorité des cas, l'utilisateur n'a rien à faire lui-même, c'est au constructeur de déployer ce correctif. Malheureusement, on sait que de nombreux appareils ne seront pas mis à jour : dans certains cas, c'est impossible, dans d'autres cas, la machine est ancienne et n'est plus supportée au niveau du software par le fabricant.

Les versions vulnérables des quatre plateformes sont les suivantes : FreeBSD 12.1, Nucleus RTOS 4.3, IPnet VxWorks 6.6 et NetX 6.0.1. Selon les experts, Name:Wreck n'aurait pas encore été activement exploité à grande échelle jusqu'ici.

Source : Wired

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
9
9
Fredolachique
Ca y est, ça commence… ou du moins, on s’en rends compte !
TNZ
On peut s’en rendre compte avec les smartphones … on nous pousse à changer d’appareil quand le nombre de modèles de terminaux devient trop important à maintenir pour un constructeur.<br /> Du coup, ils ne fournissent plus les mises à jour et, heureusement, ces «&nbsp;vieux&nbsp;» terminaux ne sont plus utilisés pour des raisons fonctionnelles bien avant qu’il y ait exploitation des failles non corrigées.
merotic
Mince, comment vont faire tous les cerveaux nivelés pour allumer les ampoules connectées?<br /> Avant, il y avait un interrupteur; ça tombe il y est toujours, mais même ça, ils ne doivent plus savoir à quoi ça sert.<br /> Je me demande si on ne va pas à l’opposé de ce qi est prévu par les constructeurs, c’est à dire, un retour au manuel, plutôt qu’une hyper-dépendance aux technologies pour des choses futiles.<br /> Il est possible qu’à force de se retrouver pris en otage, les gens finissent par redevenir raisonnables et faire la part des choses entre les objets connectés futiles et les utiles, ce qui rendrait moins ridicules certaines applications dans le quotidien comme actuellement, allumer/éteindre les lumières avec son smartphone…
nicgrover
Mince avec les pacemakers et sex-toys connectés…
Yorgmald
Et pourtant nous leur demandons pas d’en sortir autant, et après ça nous parle planère, écologie et tout le tralala.
xryl
De toute façon, ça prouve bien l’importance du S (de Security) dans l’acronyme IOT.
kyrios
Y’a pas qu’eux qui peuvent avoir des problèmes.<br /> Des botnets gigantesques pourraient être créés avec ces iot vulnérables et ils pourraient servir à faire tomber les serveurs clés des FAI ou des serveurs racine DNS et ainsi paralyser des pans entiers d’internet.<br /> L’ensemble des pays poussent le développement de l’internet des objets notamment avec la 5G (et même la 6G) car ils ont la touille que leurs industries se retrouvent à la traîne par rapport aux autres pays.<br /> Or on sait tous ce qui va se passer, le marché va être inondé d’objets mal sécurisé, bourrés de failles de sécurité, sans suivi sérieux des mises à jour et puis nos dirigeants seront surpris de constater les fuites de données et les attaques qui se multiplient, l’espionnage qui augmente., les scripts kiddies qui se lâchent, les plaintes pour problèmes liés à la vie privée qui grimpent en flèche, etc.<br /> Heureusement gouverner c’est prévoir !
TNZ
«&nbsp;Gouverner, c’est prévoir&nbsp;»<br /> Alors oui, je suis d’accord. Maintenant, il faudrait que certains aux manettes en aient conscience par rapport au contexte actuel.
Bic19
Je propose de lire et relire la dernière BD d’Enki Billal : «&nbsp;Bug&nbsp;»…
Voir tous les messages sur le forum

Lectures liées

Amazon veut rentrer dans les hôpitaux et les maisons de retraite, un juteux filon?
Les nouvelles caméras de Google ne permettent plus de streamer vers certains écrans, tout ce que vous devez savoir
Huawei veut s'adresser aux femmes, et c'est un peu maladroit
IKEA : une surprenante enceinte nomade et lumineuse en fuite
Verisure intégrera dès 2022 les sonnettes connectées Arlo à son système de sécurité
Suite à un procès perdu au Royaume-Uni, Amazon demande aux utilisateurs de Ring de ne pas espionner leurs voisins
Le Minitel revient, plus puissant que jamais, propulsé par un Raspberry Pi
Google Nest lance deux nouveaux modèles de caméras de surveillance filaires
Google souhaite que son thermostat Nest réduise les coûts énergétiques et soit plus écologique
Marre de faire les courses ? Amazon prépare un frigo qui se remplit (presque) pour vous
Haut de page