Aux Etats-Unis, le CERT appelle à la vigilance après la découverte de multiples failles de sécurité dans le protocole réseau UPnP (Universal Plug n’ Play).
Des millions d’appareils connectés – 6900 modèles commercialisés par plus de 1500 constructeurs dont Asus, Belkin ou encore Netgear – sont accessibles depuis la Toile et par là même exposés à des attaques informatiques.
Les équipes de Rapid7 en ont dénombré 80 millions, dont au moins la moitié effectivement vulnérable à un ou plusieurs types d’intrusions.
Sur un quart d’entre eux, le recours au service SOAP (Simple Object Access Protocol) permettrait à des tiers malintentionnés de passer outre les pare-feu intégrés dans les routeurs… et d’accéder au coeur du réseau depuis l’extérieur.
Il existe d’autres points d’entrée, notamment le kit de développement Portable UPnP et ses librairies qui abritent 8 trous de sécurité, dont deux exploitables pour injecter du code à distance, via des paquets UDP.
Autre bibliothèque logicielle affectée, MiniUPnP, dont les premières versions, implémentées dans les produits vendus entre 2008 et 2009, présente des brèches que les développeurs n’ont jamais corrigées.
Pour tous ces équipements retirés de la vente et désormais considérés obsolètes, il appartiendra aux utilisateurs d’accéder à l’interface d’administration pour télécharger une mise à jour du micrologiciel ou tout simplement désactiver la fonction UPnP.
L’UPnP, ce standard qui simplifie l’association et l’interaction d’équipements connectés sur un réseau local, concerne le PC autant que son environnement périphérique, des imprimantes aux caméras de surveillance en passant par les routeurs et les téléviseurs connectés.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien les Anonymous ?
Crédit photo : rayjunk – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…