Des millions d'objets connectés menacés par une série de vulnérabilités baptisées Name:Wreck

Publié le 13 avril 2021 à 15h49

Certains micrologiciels très largement utilisés dans nos objets connectés sont victimes d'un ensemble de neuf failles de sécurité.

Les failles de sécurité Name:Wreck menacent près de 100 millions d'objets connectés à travers le monde. Sont concernés notamment les produits liés à la domotique, aussi bien pour les consommateurs que pour les entreprises.

Des failles de sécurité DNS

Cette série de vulnérabilités, au nombre de neuf au total, a été découverte par des chercheurs en sécurité des sociétés Forescout et JSOF. Ces brèches peuvent permettre à des pirates de prendre le contrôle d'un objet connecté par exécution de code à distance, ou de le rendre inutilisable via une attaque par déni de service.

Les failles de sécurité ont été identifiées au niveau du DNS, et plus précisément au sein de quatre couches TCP/IP très utilisées. Le système d'exploitation FreeBSD, open-source, fait partie des composants logiciels touchés. Les autres sont Nucleus NET, un micrologiciel appartenant à Siemens, IPnet et NetX.

Fort heureusement, tous les appareils utilisant l'un de ces services ne sont pas sujets à Name:Wreck. Une très faible part serait vulnérable, mais le volume de machines que les chercheurs estiment menacé équivaut tout de même à 100 millions d'objets connectés.

Des patchs de sécurité déjà disponibles

Si ces failles Name:Wreck sont révélées aujourd'hui, c'est parce que des patchs de sécurité permettant de les combler sont d'ores et déjà disponibles.

Dans la très grande majorité des cas, l'utilisateur n'a rien à faire lui-même, c'est au constructeur de déployer ce correctif. Malheureusement, on sait que de nombreux appareils ne seront pas mis à jour : dans certains cas, c'est impossible, dans d'autres cas, la machine est ancienne et n'est plus supportée au niveau du software par le fabricant.

Les versions vulnérables des quatre plateformes sont les suivantes : FreeBSD 12.1, Nucleus RTOS 4.3, IPnet VxWorks 6.6 et NetX 6.0.1. Selon les experts, Name:Wreck n'aurait pas encore été activement exploité à grande échelle jusqu'ici.

Source : Wired

Par Alexandre Schmid

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (9)

Fredolachique

Ca y est, ça commence… ou du moins, on s’en rends compte !

TNZ

On peut s’en rendre compte avec les smartphones … on nous pousse à changer d’appareil quand le nombre de modèles de terminaux devient trop important à maintenir pour un constructeur.

Du coup, ils ne fournissent plus les mises à jour et, heureusement, ces « vieux » terminaux ne sont plus utilisés pour des raisons fonctionnelles bien avant qu’il y ait exploitation des failles non corrigées.

merotic

Mince, comment vont faire tous les cerveaux nivelés pour allumer les ampoules connectées?

Avant, il y avait un interrupteur; ça tombe il y est toujours, mais même ça, ils ne doivent plus savoir à quoi ça sert.

Je me demande si on ne va pas à l’opposé de ce qi est prévu par les constructeurs, c’est à dire, un retour au manuel, plutôt qu’une hyper-dépendance aux technologies pour des choses futiles.
Il est possible qu’à force de se retrouver pris en otage, les gens finissent par redevenir raisonnables et faire la part des choses entre les objets connectés futiles et les utiles, ce qui rendrait moins ridicules certaines applications dans le quotidien comme actuellement, allumer/éteindre les lumières avec son smartphone…

nicgrover

Mince avec les pacemakers et sex-toys connectés…

Yorgmald

Et pourtant nous leur demandons pas d’en sortir autant, et après ça nous parle planère, écologie et tout le tralala.

xryl

De toute façon, ça prouve bien l’importance du S (de Security) dans l’acronyme IOT.

kyrios

Y’a pas qu’eux qui peuvent avoir des problèmes.

Des botnets gigantesques pourraient être créés avec ces iot vulnérables et ils pourraient servir à faire tomber les serveurs clés des FAI ou des serveurs racine DNS et ainsi paralyser des pans entiers d’internet.

L’ensemble des pays poussent le développement de l’internet des objets notamment avec la 5G (et même la 6G) car ils ont la touille que leurs industries se retrouvent à la traîne par rapport aux autres pays.

Or on sait tous ce qui va se passer, le marché va être inondé d’objets mal sécurisé, bourrés de failles de sécurité, sans suivi sérieux des mises à jour et puis nos dirigeants seront surpris de constater les fuites de données et les attaques qui se multiplient, l’espionnage qui augmente., les scripts kiddies qui se lâchent, les plaintes pour problèmes liés à la vie privée qui grimpent en flèche, etc.

Heureusement gouverner c’est prévoir !

TNZ

« Gouverner, c’est prévoir »
Alors oui, je suis d’accord. Maintenant, il faudrait que certains aux manettes en aient conscience par rapport au contexte actuel.

Bic19

Je propose de lire et relire la dernière BD d’Enki Billal : « Bug »…