Les experts de l\u2019entreprise isra\u00e9lienne JSOF ont d\u00e9couvert 19 vuln\u00e9rabilit\u00e9s zero-day, dont certaines graves, qui affectent des centaines de millions d\u2019objets connect\u00e9s. Le pire est que certains dispositifs ne seront jamais mis \u00e0 jour. Toutes les vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9tect\u00e9es dans la biblioth\u00e8que TCP\/IP d\u00e9velopp\u00e9e par Treck Inc. depuis plus de vingt ans. L\u2019ensemble de ces vuln\u00e9rabilit\u00e9s est connu sous le nom de Ripple20.<\/p>\n
Il est fort probable que vous n\u2019ayez jamais entendu parler de Treck ou de sa biblioth\u00e8que TCP\/IP mais, \u00e9tant donn\u00e9 le nombre de dispositifs et de fournisseurs affect\u00e9s, votre r\u00e9seau d\u2019entreprise en utilise peut-\u00eatre au moins un. La biblioth\u00e8que est pr\u00e9sente dans tout type de solutions de l\u2019IoT, ce qui signifie que parmi les objets connect\u00e9s vuln\u00e9rables on trouve des dispositifs domestiques, des imprimantes de bureau ou encore du mat\u00e9riel industriel et m\u00e9dical.<\/p>\n
La cr\u00e9ation de Treck est une biblioth\u00e8que bas niveau qui permet aux dispositifs d\u2019interagir avec Internet. Au cours de ces 20 derni\u00e8res ann\u00e9es, depuis le lancement de la premi\u00e8re version de cette biblioth\u00e8que, de nombreuses entreprises l\u2019ont utilis\u00e9e puisqu\u2019il est souvent plus facile de se servir d\u2019une biblioth\u00e8que toute pr\u00eate que d\u2019en d\u00e9velopper une. Certains l\u2019ont tout simplement mise en \u0153uvre alors que d\u2019autres l\u2019ont modifi\u00e9e pour qu\u2019elle r\u00e9ponde \u00e0 leurs besoins, ou int\u00e9gr\u00e9e dans d\u2019autres biblioth\u00e8ques.<\/p>\n
De plus, lorsque les chercheurs recherchaient les entreprises touch\u00e9es par Ripple20, ils ont d\u00e9couvert plusieurs cas o\u00f9 l\u2019acheteur original de la biblioth\u00e8que avait modifi\u00e9 le nom. Dans certains cas, elle a \u00e9t\u00e9 rachet\u00e9e par une autre entreprise. Enfin, il n\u2019est aussi simple que cela d\u2019\u00e9valuer le nombre r\u00e9el de dispositifs qui utilisent la biblioth\u00e8que. \u00ab\u00a0Des centaines de millions\u00a0\u00bb n\u2019est qu\u2019une premi\u00e8re estimation grossi\u00e8re. Ce chiffre pourrait s\u2019\u00e9lever \u00e0 des milliards.<\/p>\n
La complexit\u00e9 de la cha\u00eene d\u2019approvisionnement fait que certains objets ne seront jamais corrig\u00e9s.<\/p>\n
Le nom g\u00e9n\u00e9rique de Ripple20 comprend 19 vuln\u00e9rabilit\u00e9s, toutes avec un degr\u00e9 de gravit\u00e9 diff\u00e9rent. Les chercheurs doivent encore communiquer les d\u00e9tails techniques et ils envisagent de le faire lors de la conf\u00e9rence Black Hat qui devrait avoir lieu \u00e0 la fin de l\u2019\u00e9t\u00e9. Nous savons pourtant qu\u2019au moins quatre vuln\u00e9rabilit\u00e9s sont graves, puisqu\u2019elles ont un score CVSS<\/a> sup\u00e9rieur \u00e0 9.0.<\/p>\n Quatre autres vuln\u00e9rabilit\u00e9s, qui ne figurent pas dans la derni\u00e8re version de la biblioth\u00e8que, apparaissent tout de m\u00eame dans les versions ant\u00e9rieures que certains dispositifs utilisent encore. La biblioth\u00e8que a \u00e9t\u00e9 mise \u00e0 jour pour des raisons autres que la s\u00e9curit\u00e9 mais de nombreux fournisseurs utilisent toujours d\u2019anciennes versions.<\/p>\n Selon JSOF, certaines de ces vuln\u00e9rabilit\u00e9s permettent aux cybercriminels, qui peuvent passer inaper\u00e7us pendant des ann\u00e9es, de prendre totalement le contr\u00f4le du dispositif et de l\u2019exploiter pour voler les donn\u00e9es d\u2019une imprimante ou pour modifier le comportement du dispositif. Deux vuln\u00e9rabilit\u00e9s graves permettent l\u2019ex\u00e9cution \u00e0 distance d\u2019un code arbitraire. Vous trouverez une liste des vuln\u00e9rabilit\u00e9s et une vid\u00e9o de d\u00e9monstration sur le site Internet des chercheurs<\/a>.<\/p>\nQue faire ?<\/h2>\n