Agrandir
Elena Lacey
commentaires des lecteurs
89
avec 63 affiches participantes
Partagez cette histoire
Partager sur Facebook
Partager sur Twitter
Partager sur Reddit
Au cours des dernières années, les chercheurs ont découvert un nombre choquant de vulnérabilités dans un code apparemment basique qui sous-tend la façon dont les appareils communiquent avec Internet. Aujourd'hui, un nouvel ensemble de neuf vulnérabilités de ce type exposent environ 100 millions d'appareils dans le monde, y compris une gamme de produits Internet des objets et de serveurs de gestion informatique. La question plus vaste à laquelle les chercheurs s'efforcent de répondre, cependant, est de savoir comment susciter des changements de fond et mettre en œuvre des défenses efficaces, alors que de plus en plus de ces types de vulnérabilités s'accumulent.
Doublé
Nom: Épave
, les failles récemment divulguées se trouvent dans quatre piles TCP/IP omniprésentes, un code qui intègre des protocoles de communication réseau pour établir des connexions entre les appareils et Internet. Les vulnérabilités, présentes dans les systèmes d'exploitation comme le projet open source FreeBSD, ainsi que Nucleus NET de la société de contrôle industriel Siemens, sont toutes liées à la façon dont ces piles implémentent l'annuaire téléphonique Internet « Domain Name System ». Ils permettraient tous à un attaquant de planter un appareil et de le mettre hors ligne ou d'en prendre le contrôle à distance. Ces deux attaques pourraient potentiellement faire des ravages dans un réseau, en particulier dans les infrastructures critiques, les soins de santé ou les paramètres de fabrication où l'infiltration d'un appareil connecté ou d'un serveur informatique peut perturber l'ensemble d'un système ou servir de point de départ précieux pour creuser plus profondément dans un réseau de la victime.
Toutes les vulnérabilités, découvertes par les chercheurs des sociétés de sécurité Forescout et JSOF, ont désormais des correctifs disponibles, mais cela ne se traduit pas nécessairement par des correctifs dans les appareils réels, qui exécutent souvent des versions logicielles plus anciennes. Parfois, les fabricants n'ont pas créé de mécanismes pour mettre à jour ce code, mais dans d'autres situations, ils ne fabriquent pas le composant sur lequel il s'exécute et n'ont tout simplement pas le contrôle du mécanisme.
Publicité
« Avec toutes ces découvertes, je sais qu'il peut sembler que nous ne faisons que soulever des problèmes, mais nous essayons vraiment de sensibiliser, de travailler avec la communauté et de trouver des moyens de résoudre ce problème », déclare Elisa Costate, vice-président de la recherche chez Forescout, qui a effectué d'autres recherches similaires dans le cadre d'un effort qu'il appelle Project Memoria. « Nous avons analysé plus de 15 piles TCP/IP à la fois propriétaires et open source et nous avons constaté qu'il n'y avait pas de réelle différence de qualité. Mais ces points communs sont également utiles, car nous avons découvert qu'ils ont des points faibles similaires. Lorsque nous analysons une nouvelle pile, nous pouvons aller voir ces mêmes endroits et partager ces problèmes communs avec d'autres chercheurs ainsi qu'avec des développeurs.
Les chercheurs n'ont pas encore vu de preuves que les attaquants exploitent activement ces types de vulnérabilités dans la nature. Mais avec des centaines de millions, voire des milliards, d'appareils potentiellement impactés par de nombreuses découvertes différentes, l'exposition est importante.
Kurt John, responsable de la cybersécurité de Siemens USA, a déclaré à Wired dans un communiqué que la société "travaille en étroite collaboration avec les gouvernements et les partenaires de l'industrie pour atténuer les vul
nérabilités … Dans ce cas, nous sommes heureux d'avoir collaboré avec l'un de ces partenaires, Forescout, pour identifier rapidement et atténuer la vulnérabilité.Les chercheurs
coordonné
divulgation
des failles avec les développeurs libérant
patchs
, la Cybersecurity and Infrastructure Security Agency du Department of Homeland Security et d'autres groupes de suivi des vulnérabilités.
Défauts similaires
trouvé par Forescout et JSOF dans d'autres sources propriétaires et open source
Piles TCP/IP
ont déjà été trouvés pour exposer des centaines de millions, voire des milliards d'appareils dans le monde.
Les problèmes apparaissent si souvent dans ces protocoles réseau omniprésents, car ils ont été largement transmis intacts au cours des décennies à mesure que la technologie qui les entoure évolue. Essentiellement, puisqu'il n'est pas cassé, personne ne le répare.
« Pour le meilleur ou pour le pire, ces appareils contiennent du code que les gens ont écrit il y a 20 ans, avec la mentalité de sécurité d'il y a 20 ans », explique Ang Cui, PDG de la société de sécurité IoT Red Balloon Security. "Et il fonctionne; ça n'a jamais échoué. Mais une fois que vous le connectez à Internet, ce n'est pas sécurisé. Et ce n'est pas si surprenant, étant donné que nous avons dû vraiment repenser la façon dont nous assurons la sécurité des ordinateurs à usage général au cours de ces 20 années.
Publicité
Le problème est
célèbre
à ce stade, et c'est un problème que l'industrie de la sécurité n'a pas été en mesure d'annuler, car le code zombie truffé de vulnérabilités semble toujours réapparaître.
« Il existe de nombreux exemples de recréation involontaire de ces bogues réseau de bas niveau des années 90 », déclare Kenn White, codirecteur du projet Open Crypto Audit. « Il s'agit en grande partie d'un manque d'incitations économiques pour vraiment se concentrer sur la qualité de ce code. »
Il y a de bonnes nouvelles concernant la nouvelle liste de vulnérabilités découvertes par les chercheurs. Bien que les correctifs ne prolifèrent pas complètement de sitôt, ils sont disponibles. Et d'autres mesures d'atténuation peuvent réduire l'exposition, à savoir empêcher autant d'appareils que possible de se connecter directement à Internet et utiliser un serveur DNS interne pour acheminer les données. Costante de Forescout note également que l'activité d'exploitation serait assez prévisible, ce qui faciliterait la détection des tentatives pour tirer parti de ces failles.
Lorsqu'il s'agit de solutions à long terme, il n'y a pas de solution miracle compte tenu de tous les fournisseurs, fabricants et développeurs qui interviennent dans ces chaînes d'approvisionnement et ces produits. Mais Forescout a publié un
script open source
que les gestionnaires de réseau peuvent utiliser pour identifier les appareils et serveurs IoT potentiellement vulnérables dans leurs environnements. La société gère également une bibliothèque open source de requêtes de base de données que les chercheurs et les développeurs peuvent utiliser pour trouver plus facilement des vulnérabilités similaires liées au DNS.
« C'est un problème répandu ; ce n'est pas seulement un problème pour un type d'appareil spécifique », explique Costate. « Et il ne s'agit pas seulement d'appareils IoT bon marché. Il y a de plus en plus de preuves de l'ampleur de ce phénomène. C'est pourquoi nous continuons à travailler pour sensibiliser. »
Cette histoire est parue à l'origine sur
wired.com
.
