Les experts de l’entreprise israélienne JSOF ont découvert 19 vulnérabilités zero-day, dont certaines graves, qui affectent des centaines de millions d’objets connectés. Le pire est que certains dispositifs ne seront jamais mis à jour. Toutes les vulnérabilités ont été détectées dans la bibliothèque TCP/IP développée par Treck Inc. depuis plus de vingt ans. L’ensemble de ces vulnérabilités est connu sous le nom de Ripple20.
Comment cela vous affecte ?
Il est fort probable que vous n’ayez jamais entendu parler de Treck ou de sa bibliothèque TCP/IP mais, étant donné le nombre de dispositifs et de fournisseurs affectés, votre réseau d’entreprise en utilise peut-être au moins un. La bibliothèque est présente dans tout type de solutions de l’IoT, ce qui signifie que parmi les objets connectés vulnérables on trouve des dispositifs domestiques, des imprimantes de bureau ou encore du matériel industriel et médical.
La création de Treck est une bibliothèque bas niveau qui permet aux dispositifs d’interagir avec Internet. Au cours de ces 20 dernières années, depuis le lancement de la première version de cette bibliothèque, de nombreuses entreprises l’ont utilisée puisqu’il est souvent plus facile de se servir d’une bibliothèque toute prête que d’en développer une. Certains l’ont tout simplement mise en œuvre alors que d’autres l’ont modifiée pour qu’elle réponde à leurs besoins, ou intégrée dans d’autres bibliothèques.
De plus, lorsque les chercheurs recherchaient les entreprises touchées par Ripple20, ils ont découvert plusieurs cas où l’acheteur original de la bibliothèque avait modifié le nom. Dans certains cas, elle a été rachetée par une autre entreprise. Enfin, il n’est aussi simple que cela d’évaluer le nombre réel de dispositifs qui utilisent la bibliothèque. « Des centaines de millions » n’est qu’une première estimation grossière. Ce chiffre pourrait s’élever à des milliards.
La complexité de la chaîne d’approvisionnement fait que certains objets ne seront jamais corrigés.
Quelles sont les vulnérabilités et pourquoi sont-elles dangereuses ?
Le nom générique de Ripple20 comprend 19 vulnérabilités, toutes avec un degré de gravité différent. Les chercheurs doivent encore communiquer les détails techniques et ils envisagent de le faire lors de la conférence Black Hat qui devrait avoir lieu à la fin de l’été. Nous savons pourtant qu’au moins quatre vulnérabilités sont graves, puisqu’elles ont un score CVSS supérieur à 9.0.
Quatre autres vulnérabilités, qui ne figurent pas dans la dernière version de la bibliothèque, apparaissent tout de même dans les versions antérieures que certains dispositifs utilisent encore. La bibliothèque a été mise à jour pour des raisons autres que la sécurité mais de nombreux fournisseurs utilisent toujours d’anciennes versions.
Selon JSOF, certaines de ces vulnérabilités permettent aux cybercriminels, qui peuvent passer inaperçus pendant des années, de prendre totalement le contrôle du dispositif et de l’exploiter pour voler les données d’une imprimante ou pour modifier le comportement du dispositif. Deux vulnérabilités graves permettent l’exécution à distance d’un code arbitraire. Vous trouverez une liste des vulnérabilités et une vidéo de démonstration sur le site Internet des chercheurs.
Que faire ?
Si votre entreprise utilise une bibliothèque TCP/IP de Treck, les chercheurs vous conseillent de contacter les développeurs et de mettre à jour la bibliothèque pour utiliser la dernière version. Si cela vous est impossible, désactivez les fonctions vulnérables des dispositifs.
Quant aux entreprises qui utilisent des dispositifs vulnérables au quotidien dans le cadre de leur travail, le défi est de taille. Elles doivent d’abord déterminer si les vulnérabilités affectent le matériel dont elles se servent. Ce n’est pas si simple qu’il n’y paraît et elles auront peut-être besoin de l’aide des centres et des vendeurs CERT de leur pays. De plus, il leur est recommandé de :
- Mettre à jour le micrologiciel de tous les dispositifs (ce conseil est valable dans tous les cas, et pas seulement lorsqu’il y a de nouvelles vulnérabilités) ;
- Réduire l’accès à Internet des objets connectés critiques ;
- Séparer le réseau de l’entreprise des autres réseaux qui utilisent ce genre de dispositifs (conseil indémodable : faites-le dans tous les cas) ;
- Configurer le proxy DNS des réseaux utilisés par des objets connectés.
De notre côté, nous vous conseillons d’installer une solution de sécurité fiable capable de détecter les activités anormales au sein du réseau de votre entreprise. C’est un des nombreux atouts de Kaspersky Threat Management and Defense.