Avant d’acheter un appareil « Internet des objets » (IoT) – un thermostat, une caméra ou un appareil conçu pour être accessible et/ou contrôlé à distance sur Internet – demandez-vous si vous pouvez de manière réaliste prendre en charge et répondre aux besoins de sécurité d’un autre objet IoT. Après tout, il y a de fortes chances que votre chiot IoT nouvellement adopté soit :
-faire des trous dans les défenses de votre réseau ;
– ronger de nouvelles failles de sécurité critiques ;
-produit par un fournisseur qui corrige rarement et tardivement ;
-difficile à démêler et à patcher
En avril 2014, des chercheurs de Cisco fournisseur de CVC alerté Trane environ trois vulnérabilités critiques distinctes dans leur ComfortLink II gamme de thermostats connectés à Internet. Ces thermostats sont dotés de grands écrans LCD couleur et d’un Ordinateur basé sur Busybox qui se connecte directement à votre réseau sans fil, permettant à l’appareil d’afficher non seulement la température de votre maison, mais également des collections de photos personnelles, les prévisions météorologiques locales et des cartes radar météo en direct, entre autres.
Les chercheurs de Cisco ont découvert que les appareils ComfortLink permettent aux attaquants d’accéder à distance et utilisent également ces appareils comme point de départ pour accéder au reste du réseau d’un utilisateur. Trane n’a pas encore répondu aux demandes de commentaires.
Un gros problème est que les thermostats ComfortLink sont livrés avec des identifiants qui ont des mots de passe codés en dur, a découvert Cisco. Par défaut, les comptes peuvent être utilisés pour se connecter à distance au système via « SSH », un tunnel de communication crypté que de nombreux utilisateurs autorisent via leur pare-feu.
Les deux autres bogues signalés par Cisco à Trane permettraient aux attaquants d’installer leurs propres logiciels malveillants sur les appareils Trane vulnérables et d’utiliser ces systèmes pour maintenir une présence persistante sur le réseau local de la victime.
Le 26 janvier 2016, Trane a corrigé la plus grave des failles (les informations d’identification codées en dur). Selon Cisco, Trane a corrigé les deux autres bogues faisant partie d’une mise à jour standard publiée en mai 2015, mais apparemment sans fournir aux clients aucune indication que la mise à jour était essentielle à leurs efforts de protection.
Qu’est-ce que cela signifie pour l’utilisateur moyen ?
« Les appareils IoT compromettants permettent un accès sans entrave à travers le réseau à tout autre appareil sur le réseau », a déclaré Craig Williams, responsable de la sensibilisation à la sécurité chez Cisco. « Pour aggraver les choses, presque personne n’a accès à son thermostat à un [operating system] couche pour remarquer qu’elle a été compromise. Personne ne se réveille en pensant : « Hé, il est temps de mettre à jour le micrologiciel de mes thermostats ». En règle générale, une fois que quelqu’un compromet ces appareils, ils le resteront jusqu’à ce qu’ils soient remplacés. Fondamentalement, cela donne à un attaquant une position idéale pour se déplacer latéralement à travers un réseau.
Les comptes masqués et les valeurs par défaut non sécurisées ne sont pas inhabituels pour les appareils IoT. De plus, l’application de correctifs aux appareils vulnérables peut être compliquée, voire impossible, pour l’utilisateur moyen ou pour ceux qui ne maîtrisent pas la technique. Les instructions de Trane pour appliquer la dernière mise à jour sont ici.
« Pour les organisations qui maintiennent de grandes quantités d’appareils IoT sur leur réseau, il n’y a peut-être aucun moyen de mettre à jour un appareil qui évolue, créant un scénario cauchemardesque », a écrit Williams dans un e-mail expliquant la recherche. « Je soupçonne qu’à mesure que nous commençons à voir de plus en plus d’appareils IoT nécessitant des mises à jour de sécurité, cela va devenir un problème courant car la durée de vie des appareils IoT dépasse largement ce que l’on pourrait considérer comme la durée de vie typique du logiciel (2 ans contre 10 ans). »
Si ces vulnérabilités IoT semblent tout droit sorties d’un scénario de film de hacker hollywoodien, ce n’est pas loin de la vérité. Dans la première saison du série télévisée exceptionnelle Mr. Robotle personnage principal [SPOILER ALERT] complote pour détruire des données sur des bandes de sauvegarde stockées dans une installation d’Iron Mountain en exploitant une vulnérabilité dans un système CVC pour augmenter la température ambiante dans l’installation ciblée.
La rédaction de Cisco sur ses conclusions est ici; il comprend un lien vers un nouveau module Metasploit que les chercheurs ont développé pour aider les administrateurs système à trouver et à sécuriser les systèmes exploitables sur un réseau. Il peut également être utilisé par des méchants pour exploiter des systèmes vulnérables, donc si vous utilisez l’un de ces systèmes ComfortLink, envisagez de le mettre à jour peu de temps avant que cela ne se transforme en une épave Trane (désolé, je n’ai pas pu l’aider).