Certains Pc, imprimantes ou TV connectées par Internet sont vulnérables
La connexion simple entre un PC et une imprimante pourrait bien rendre les deux appareils vulnérables par Internet.
Le système de détection automatique de ces appareils (PC, routeurs, imprimantes, serveurs multimédia, TV connectées,etc…) peut les rendre accessibles à des pirates par Internet.
Selon les chercheurs en sécurité de Rapid7, dans un livre blanc publié mardi 29 janvier 2013, des dizaines de millions d’appareils seraient accessibles à cause d’erreurs d’intégration de cette détection automatique.
En cause, « l’Universal Plug and Play » (UPnP), une technologie standard qui permet aux appareils de se détecter et se comprendre une fois connectés à un même réseau.
Ce protocole permet ainsi de lire un film sur un PC sur une TV connectée sans configuration.
La recherche est censée être limitée au réseau local, souvent celui d’une maison, donc ne pas permettre d’atteindre les terminaux par Internet.
Pourtant, selon les analyses menées entre juin 2012 et novembre 2012, 80 millions d’adresses auraient répondu à des requêtes d’association par Internet.
Ces objets permettraient donc l’accès au réseau local à des personnes extérieures, voire la prise de contrôle d’appareils normalement inaccessibles.
Peu de chances de mise a jour
Ainsi, 20% des adresses concernées, soit 17 millions d’appareils, laisseraient le service UPnP SOAP (Simple Object Access Protocol) accessibles par Internet au lieu du réseau local seul.
Ce service ouvre une porte, passant outre le pare feu de la box Internet par exemple, qui permettrait d’accéder directement à des informations contenues sur le réseau local.
Les chercheurs ont déterminé que 6.900 modèles de 1.500 constructeurs étaient concernés par ce problème.
En outre, 23 millions des appareils trouvés permettent la détection automatique par la bibliothèque logicielle « Portable UPnP SDK », dont les vulnérabilités ont été officiellement corrigées ce mardi 29 janvier 2013 par leurs créateurs, mais pas encore par les constructeurs.
Une autre bibliothèque, « Mini UPnP », a également été détectée comme vulnérable et n’a pas encore été corrigée par ses développeurs, donc pas par les constructeurs..
Citation:
De même, les utilisateurs pourraient eux-mêmes ignorer les mises à jour développées par le constructeur, la démarche étant généralement considérée comme complexe.
En parade, les chercheurs ont émis des recommandations aux fournisseurs d’accès Internet pour limiter la vulnérabilité de certains objets et proposent un outil pour détecter si le réseau local est bien accessible en UPnP par Internet.