Cette faille de sécurité sournoise prend le contrôle de millions d'appareils connectés pour espionner votre quotidien
Un bug de l'IoT pourrait permettre aux cybercriminels d'accéder à des flux audio et vidéo confidentiels.
Une faille de sécurité vient d’être repérée dans un logiciel déployé sur des millions d'appareils connectés à Internet et dotés de fonctionnalités audio comme vidéo.
Selon les chercheurs de Nozomi Networks, cette faille pourrait permettre à tout hacker de transformer efficacement des gadgets connectés - tels que des moniteurs pour bébé, des caméras de sécurité domestique ou des sonnettes intelligentes - en outils d'espionnage.
Dans un contexte professionnel, la faille de sécurité pourrait être exploitée pour accéder aux données sensibles des employés et des clients d’une entreprise, ou pour recueillir des informations cruciales sur des brevets ou des commandes.
- Meilleurs antivirus 2021 : quelle solution gratuite, premium ou business choisir ?
- Optez pour les meilleurs VPN | VPN gratuits | VPN Jeux en ligne | VPN à petit prix | VPN avec essai gratuit | VPN pour Mac
Le bug a reçu une note de gravité de 9,1/10 selon le système CVSS (Common Vulnerability Scoring System), en raison de sa grande portée et de la faible complexité de sa mise en place.
Une faille déjà corrigée, mais pas pour tout le monde
Le composant logiciel incriminé, connu sous le nom de P2P, est développé par une société appelée ThroughTek. Dans les scénarios légaux, le SDK P2P est utilisé par les fabricants pour intégrer une fonctionnalité d'accès à distance sur les appareils IoT.
La vulnérabilité affecterait les versions 3.1.5 et antérieures de P2P SDK, ainsi que toutes les versions comportant le tag nossl. ThroughTek a corrigé l’anomalie en proposant une mise à jour 3.3, lancée l’an dernier - mais une proportion importante d'appareils utiliserait encore des versions obsolètes.
Une preuve de concept développée par Nozomi démontre que les anciennes versions du SDK P2P permettent d'intercepter des paquets de données en transit, puis de les décrypter. Ces paquets peuvent ensuite être reconstruits en flux audio ou vidéo complets.
Etes-vous un expert ? Abonnez-vous à notre newsletter
Inscrivez-vous à la newsletter TechRadar Pro pour recevoir toutes les actualités, les opinions, les analyses et les astuces dont votre entreprise a besoin pour réussir !
ThroughTek suggère qu'un pirate informatique aurait besoin d'une connaissance approfondie de la sécurité du réseau et de l'algorithme de cryptage avant d'exécuter une attaque. Les chercheurs ont également admis qu'il serait difficile pour un hacker d'identifier les appareils IoT qui sont vulnérables et ceux qui ne le sont pas.
Néanmoins, il est conseillé aux fabricants qui utilisent le kit de développement P2P de passer immédiatement à la dernière version pour se protéger contre ce danger potentiel.
"Le rappel le plus effrayant de cette étude est que, malgré toutes les avancées techniques sur le support des appareils connectés et la confiance que nous leur avons de plus en plus accordée au cours de l'année écoulée, l'IoT est toujours en proie à l'insécurité", a déclaré Nozomi.
Joel Khalili is the News and Features Editor at TechRadar Pro, covering cybersecurity, data privacy, cloud, AI, blockchain, internet infrastructure, 5G, data storage and computing. He's responsible for curating our news content, as well as commissioning and producing features on the technologies that are transforming the way the world does business.