Sécurité IT : gare à l’UPnP

Aux Etats-Unis, le CERT appelle à la vigilance après la découverte de multiples failles de sécurité dans le protocole réseau UPnP (Universal Plug n’ Play).

Des millions d’appareils connectés – 6900 modèles commercialisés par plus de 1500 constructeurs dont Asus, Belkin ou encore Netgear – sont accessibles depuis la Toile et par là même exposés à des attaques informatiques.

Les équipes de Rapid7 en ont dénombré 80 millions, dont au moins la moitié effectivement vulnérable à un ou plusieurs types d’intrusions.

Sur un quart d’entre eux, le recours au service SOAP (Simple Object Access Protocol) permettrait à des tiers malintentionnés de passer outre les pare-feu intégrés dans les routeurs… et d’accéder au coeur du réseau depuis l’extérieur.

Il existe d’autres points d’entrée, notamment le kit de développement Portable UPnP et ses librairies qui abritent 8 trous de sécurité, dont deux exploitables pour injecter du code à distance, via des paquets UDP.

Autre bibliothèque logicielle affectée, MiniUPnP, dont les premières versions, implémentées dans les produits vendus entre 2008 et 2009, présente des brèches que les développeurs n’ont jamais corrigées.

Pour tous ces équipements retirés de la vente et désormais considérés obsolètes, il appartiendra aux utilisateurs d’accéder à l’interface d’administration pour télécharger une mise à jour du micrologiciel ou tout simplement désactiver la fonction UPnP.

L’UPnP, ce standard qui simplifie l’association et l’interaction d’équipements connectés sur un réseau local, concerne le PC autant que son environnement périphérique, des imprimantes aux caméras de surveillance en passant par les routeurs et les téléviseurs connectés.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien les Anonymous ?

Crédit photo : rayjunk – Shutterstock.com