Les développeurs IoT sapent massivement la sécurité d’internet
Des millions de petits appareils connectés à internet utilisent les mêmes certificats et clés de sécurité, selon une nouvelle enquête. Tout cet équipement est donc très vulnérable vis-à-vis de pirates qui veulent lancer une attaque dite man-in-the-middle.
Les producteurs seraient trop paresseux pour créer de nouveaux certificats et clés de sécurité, conclut The Register sur base d’une étude réalisée par Infosec Biz Sec Consult. Ce bureau a analysé le firmware de 4.000 appareils différents de 70 fabricants: routeurs, caméras IP, téléphones VoIP, etc.
Le firmware que l’on y trouve, utilise les certificats et clés de sécurité pour établir des connexions sécurisées. Or il s’avère que les producteurs recourent souvent à des certificats et clés standards, que le fournisseur livre avec le software development kit pour les puces intégrées.
C’est ainsi qu’un certificat de Broadcom a été découvert dans des appareils d’Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone et ZyXEL. Les enquêteurs ont déjà pu localiser 480.000 appareils connectés à internet, qui utilisent la même combinaison.
En outre, ils ont relevé un certificat de Multitech dans des appareils d’Aztech, Bewan, Observa Telecom, NetComm Wireless, Zhone, ZTE et ZyXEL. Plus de 300.000 de ces appareils sont actifs sur internet. Et l’enquête comporte bien d’autres exemples du genre.
Dans les 4.000 appareils, l’on a trouvé en tout 580 clés privées uniques et sur internet, l’on en a repéré 230 disséminées ci et là.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici