IoT : La FTC attaque D-Link pour défauts de sécurité
La FTC a porté plainte contre D-Link pour ne pas avoir corrigé une succession de négligences de sécurité. Des brèches à l’origine du botnet Mirai.
Après la prévention, voici venu le temps de la répression. La FTC (Federal Trade Commission) tape du poing sur la table concernant la légèreté des équipementiers d’objets connectés en matière de sécurité. Le premier à s’attirer les foudres du régulateur est D-Link. La FTC vient de déposer plainte contre lui auprès du district nord de San Francisco.
Dans la plainte, on peut lire que le régulateur blâme D-Link de mettre en danger des milliers de clients en ne sécurisant pas ses caméras IP et ses routeurs. « D-Link n’a pas réussi à prendre des mesures raisonnables de tests et de corrections des logiciels pour protéger ses routeurs et ses caméras IP contre des failles de sécurité connues et facilement évitables. »
Une ribambelle de négligences de sécurité
La FTC a listé les différentes erreurs de sécurisation. On retrouve : des identifiants de connexions codés en dur, des backdoors permettant d’accéder sans autorisation à des flux vidéo des caméras IP, une mauvaise gestion de ses propres clés privées exposées sur le web pendant 6 mois, ne pas corriger une vulnérabilité connue donnant à des attaquants la capacité de contrôler à distance et d’envoyer des commandes aux routeurs, et enfin ne pas avoir utilisé un logiciel libre disponible depuis 2008 pour sécuriser les identifiants des utilisateurs mobiles en préférant les stocker en clair et lisible sur les terminaux. Et peut-être le pire de tout, D-Link n’a cessé de vanter la sécurité de ses produits pendant la période incriminée dans la plainte, c’est-à-dire entre décembre 2013 et septembre 2015.
La conséquence de cette cascade de faiblesses est le développement de botnet IoT comme Mirai. Ce dernier a été à l’origine de plusieurs attaques violentes contre des hébergeurs (OVH), le site du journaliste Brian Krebs, un prestataire DSN (Dyn), mais aussi contre un Etat, le Liberia, ou des opérateurs télécoms (Deutsche Telekom et Talk Talk). Point commun à tous ces cas, l’utilisation d’objets connectés comme vecteur d’attaques DDoS. Le botnet enrôle ces objets, principalement des caméras IP ou des routeurs, en raison de leur faible sécurité. Ainsi dans le cas des box de Deutsche Telekom, Mirai utilise le port 7547 ouvert pour que le fournisseur d’accès à Internet puisse gérer à distance le matériel en cas de panne ou de problème. Et la menace de botnet IoT ne fait que commencer avec le développement de variante de Mirai comme Rakos ou de concurrent comme Leet.
Qui sont les prochains ?
La FTC constate également que les vulnérabilités facilitent le vol de données personnelles et financières. « En prenant le contrôle d’un routeur, un attaquant peut amener un utilisateur sur un site bancaire contrefait et capter ainsi ses données financières. De même, il peut également accéder aux données personnelles présentes sur une solution de stockage attachée (NAS) ou attaquer d’autres terminaux sur le réseau local comme un ordinateur, un smartphone, une caméra IP, etc. », écrit le régulateur dans sa plainte.
Une première plainte, qui pourrait en amener d’autres. Plusieurs constructeurs de routeurs sont sur la sellette, car ils ont du mal à corriger les failles de sécurité. C’est le cas de Netgear ou Zyxel qui la semaine dernière n’ont pas corrigé 7 vulnérabilités découvertes par des chercheurs, rapporte Bleepingcomputer. Parmi elles, 3 failles concernent un routeur Netgear, WNR2000. Enfin, 4 brèches ciblent trois routeurs Zyxel, les modèles P660HN-T v1, P660HN-T v2, et Billion 5200W-T.
Jacques Cheminat
Siliconf.fr