Une faille de sécurité vient d’être repérée dans un logiciel déployé sur des millions d'appareils connectés à Internet et dotés de fonctionnalités audio comme vidéo.
Selon les chercheurs de Nozomi Networks, cette faille pourrait permettre à tout hacker de transformer efficacement des gadgets connectés - tels que des moniteurs pour bébé, des caméras de sécurité domestique ou des sonnettes intelligentes - en outils d'espionnage.
Dans un contexte professionnel, la faille de sécurité pourrait être exploitée pour accéder aux données sensibles des employés et des clients d’une entreprise, ou pour recueillir des informations cruciales sur des brevets ou des commandes.
- Meilleurs antivirus 2021 : quelle solution gratuite, premium ou business choisir ?
- Optez pour les meilleurs VPN | VPN gratuits | VPN Jeux en ligne | VPN à petit prix | VPN avec essai gratuit | VPN pour Mac
Le bug a reçu une note de gravité de 9,1/10 selon le système CVSS (Common Vulnerability Scoring System), en raison de sa grande portée et de la faible complexité de sa mise en place.
Une faille déjà corrigée, mais pas pour tout le monde
Le composant logiciel incriminé, connu sous le nom de P2P, est développé par une société appelée ThroughTek. Dans les scénarios légaux, le SDK P2P est utilisé par les fabricants pour intégrer une fonctionnalité d'accès à distance sur les appareils IoT.
La vulnérabilité affecterait les versions 3.1.5 et antérieures de P2P SDK, ainsi que toutes les versions comportant le tag nossl. ThroughTek a corrigé l’anomalie en proposant une mise à jour 3.3, lancée l’an dernier - mais une proportion importante d'appareils utiliserait encore des versions obsolètes.
Une preuve de concept développée par Nozomi démontre que les anciennes versions du SDK P2P permettent d'intercepter des paquets de données en transit, puis de les décrypter. Ces paquets peuvent ensuite être reconstruits en flux audio ou vidéo complets.
ThroughTek suggère (s'ouvre dans un nouvel onglet) qu'un pirate informatique aurait besoin d'une connaissance approfondie de la sécurité du réseau et de l'algorithme de cryptage avant d'exécuter une attaque. Les chercheurs ont également admis qu'il serait difficile pour un hacker d'identifier les appareils IoT qui sont vulnérables et ceux qui ne le sont pas.
Néanmoins, il est conseillé aux fabricants qui utilisent le kit de développement P2P de passer immédiatement à la dernière version pour se protéger contre ce danger potentiel.
"Le rappel le plus effrayant de cette étude est que, malgré toutes les avancées techniques sur le support des appareils connectés et la confiance que nous leur avons de plus en plus accordée au cours de l'année écoulée, l'IoT est toujours en proie à l'insécurité", a déclaré Nozomi.