On savait déjà que les objets connectés avaient plutôt un mauvais niveau de sécurité. Mais l’étude intitulée « House of keys » que vient de publier Stefan Viehböck, chercheur en sécurité chez SEC Consult, dépasse tout entendement. Le spécialiste s’est mis à la recherche de clés de chiffrement ou de certificats codés en dur dans les firmwares et a réalisé un travail de titan en décortiquant plus de 4.000 appareils issus de 70 fabricants : des modems, des routeurs, des caméras IP, de téléphones IP, etc. Le résultat est édifiant. Il a trouvé pas moins de 580 clés privées uniques disséminées dans son échantillon. Elles servent généralement à établir des connexions sécurisées en HTTPS ou SSH (Secure Shell), dans le cadre d’opérations de téléadministration.
En soi, trouver une clé privée dans un firmware pose déjà un léger problème, car une donnée aussi sensible ne devrait pas être aussi facilement accessible. Mais il y a pire. En s’appuyant sur des scans massifs d’Internet, le chercheur a pu – par une analyse par corrélation – détecter des millions d’appareils qui utilisaient ces mêmes clés. Une même clé peut ainsi se retrouver dans tous les exemplaires d’un même modèle ou d’une même famille de modèles. Parfois, elle se retrouve même dans les séries de modèles de fabricants concurrents. D’un point de vue sécurité, c’est un désastre, car il suffit d’avoir accès à un appareil pour en déduire la clé privée de dizaines voire de centaines de milliers d’autres, sans grande difficulté.
Quel est le risque pour les utilisateurs ? Détenir une clé privée permet de déchiffrer des flux ou d’usurper l’identité d’un appareil. Elle permettrait, en particulier, de siphonner les identifiants du compte administrateur utilisé pour les connexions HTTPS et SSH en question. En pratique, un pirate lambda ne pourra réaliser une telle attaque que s’il se trouve sur le même réseau local (filaire ou non). Depuis l’internet, l’attaque est beaucoup plus difficile. Pour intercepter le trafic, il faut avoir la main sur les équipements télécoms, ce qui n’est pas donné à tout le monde.
Les mêmes outils, les mêmes lignes de code
Reste à savoir pourquoi ces clés se retrouvent ainsi copiées des dizaines de milliers de fois. La réponse est simple : par facilité. Pour créer leurs firmwares, les fabricants utilisent tous plus ou moins les mêmes outils, les mêmes interfaces de programmation et les mêmes lignes de code. Ainsi, un certificat trouvé dans un SDK de Broadcom se retrouve tel quel dans 480.000 appareils d’une dizaine de fabricants différents. Un certificat d’un SDK de Texas Instruments a été copié, de la même manière, dans plus de 300.000 appareils d’une dizaine de fabricants différents. A cela s’ajoute le fait que les services d’administration à distance sont activés par défaut dans beaucoup d’appareils, et donc accessibles par internet. Sans que cela soit réellement utile.
Au total, Stefan Viehböck a identifié 900 appareils vulnérables, vendus par 50 fabricants. Tous ont été alertés. Une note de sécurité a été publiée par le CERT Carnegie Mellon. Mais le problème n’est pas simple à résoudre. L’idéal serait que les fabricants mettent à jour les firmwares de telle manière à ce que chaque appareil détienne des clés différentes des autres. « Celles-ci peuvent être générées dans l’usine ou lors de la première mise en fonctionnement », précise le chercheur. Les accès HTTPS et SSH devraient, par ailleurs, être limités au strict minimum.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
