Des millions d'objets connectés menacés par une série de vulnérabilités baptisées Name:Wreck

Certains micrologiciels très largement utilisés dans nos objets connectés sont victimes d'un ensemble de neuf failles de sécurité.

Les failles de sécurité Name:Wreck menacent près de 100 millions d'objets connectés à travers le monde. Sont concernés notamment les produits liés à la domotique, aussi bien pour les consommateurs que pour les entreprises.

Des failles de sécurité DNS

Cette série de vulnérabilités, au nombre de neuf au total, a été découverte par des chercheurs en sécurité des sociétés Forescout et JSOF. Ces brèches peuvent permettre à des pirates de prendre le contrôle d'un objet connecté par exécution de code à distance, ou de le rendre inutilisable via une attaque par déni de service.

Les failles de sécurité ont été identifiées au niveau du DNS, et plus précisément au sein de quatre couches TCP/IP très utilisées. Le système d'exploitation FreeBSD, open-source, fait partie des composants logiciels touchés. Les autres sont Nucleus NET, un micrologiciel appartenant à Siemens, IPnet et NetX.

Fort heureusement, tous les appareils utilisant l'un de ces services ne sont pas sujets à Name:Wreck. Une très faible part serait vulnérable, mais le volume de machines que les chercheurs estiment menacé équivaut tout de même à 100 millions d'objets connectés.

Des patchs de sécurité déjà disponibles

Si ces failles Name:Wreck sont révélées aujourd'hui, c'est parce que des patchs de sécurité permettant de les combler sont d'ores et déjà disponibles.

Dans la très grande majorité des cas, l'utilisateur n'a rien à faire lui-même, c'est au constructeur de déployer ce correctif. Malheureusement, on sait que de nombreux appareils ne seront pas mis à jour : dans certains cas, c'est impossible, dans d'autres cas, la machine est ancienne et n'est plus supportée au niveau du software par le fabricant.

Les versions vulnérables des quatre plateformes sont les suivantes : FreeBSD 12.1, Nucleus RTOS 4.3, IPnet VxWorks 6.6 et NetX 6.0.1. Selon les experts, Name:Wreck n'aurait pas encore été activement exploité à grande échelle jusqu'ici.

Source : Wired

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
9
9
Voir tous les messages sur le forum

Actualités récentes

Cette fois il atterrit ! SpaceX réussit le vol d'essai de Starship SN15
Facebook désactive le compte de Signal après une publicité alertant sur l'utilisation des données personnelles
Bon plan VPN et antivirus : Sécurisez tous vos appareils avec le pack d’Avast
Icedrive : 10 Go de stockage cloud gratuits
Gamescom : l'édition 2021 se fera au final uniquement au format vidéo
FLoC, le descendant des cookies tiers de Google : c’est quoi en fait ?
House of the Dragon, le prequel de Game of Thrones, dévoile ses premières images
Cloudpunk annonce un premier DLC ambitieux, City of Ghosts, pour
Blue Origin lance une vente aux enchères pour devenir le premier touriste spatial à bord de New Shepard
Le Dernier Voyage : un trailer pour l'ambitieux film de SF français, attendu au cinéma le 19 mai
Haut de page