Quand vous avez acheté votre cadre photo, vous n’y voyiez qu’un moyen rapide de mettre les photos du chien, des enfants, de la grande tante Angèle et de vos vacances sur la cheminée. Rien de plus, rien de moins. Et pourtant, derrière cette façade bonhomme, votre cadre photo pourrait servir à bien plus.
Certains cadres, connectés à Internet et dotés d’une interface de gestion Web, présentent des failles de sécurité exploitables à distance. Elles permettent de voir la photo actuellement affichée, de forcer l’affichage d’une photo, voir de les voler.
Au delà des cadres photos, le soucis mis en avant par une équipe de Stanford touche un très grand nombre de périphériques, connectés au réseau et vulnérables à un grand nombre de failles. Tout appareil utilisant une interface de configuration accessible via un navigateur est potentiellement concerné, du routeur au NAS en passant par l’imprimante réseau ou la caméra IP.
Effleurons la technique…
Hristo Bojinov, Elie Bursztein, et Dan Boneh, trois chercheurs du Stanford Security Laboratory, vont prochainement présenter leurs recherches à l’occasion du Black Hat 09, qui se tiendra à Las Vegas à la fin du mois. Si les résultats devraient attirer l’attention des constructeurs concernés (et déjà prévenus), tous les appareils testés ayant présenté une ou plusieurs vulnérabilités, la méthode mise en place pour y arriver est tout aussi utile qu’intéressante.
Aux attaques déjà documentées, les chercheur ont mis en lumière une nouvelle source de vulnérabilité qu’ils ont nommé Cross Channel Scripting (XCS) : quelque chose de parfaitement innocent pour le service FTP d’un NAS peut être dangereux pour son interface Web. L’équivalent informatique du porteur sain biologique, qui transmet une maladie à quelqu’un alors que lui même n’en sera pas victime. Et comme les constructeurs multiplient les fonctions de ces petits appareils…
… pour nous intéresser à la pratique
En pratique, que faire pour être tranquille ? Elie Bursztein propose quelques pistes aux utilisateurs comme vous et moi. Il conseille de mettre à jour l’appareil si un nouveau firmware existe, et si votre routeur Wi-Fi le permet, il faut isoler les périphériques fautifs du reste de votre réseau et de vos données sensibles.
Pour le reste, la balle est dans le camp des constructeurs. L’équipe de Stanford compte proposer dans le courant de l’année un framework sécurisé, utilisables par les constructeurs pour améliorer la sécurité de leurs périphériques. Pour suivre le développement de leurs recherches, une seule adresse :
Guide d'achat des tablettes tactiles
Samsung Galaxy Note : Et si la révolution mobile venait d’un autre Galaxy ?
Interdiction des alertes radars : comment mettre à jour mon GPS ?
Guide d'achat assistant d'aide à la conduite
iPad 3 : la nouvelle tablette tactile Apple arrive début 2012