Devil’s Ivy : une vulnérabilité aux dizaines de millions d’objets connectés

Devil’s Ivy, un bug récemment découvert affecte des dizaines de millions de périphériques connectés de part le monde.

La problématique du piratage informatique, de la mise à jour des objets connectés ne fait que commencer. Suite à la découverte par la Senrio Labs d’une vulnérabilité qui concernerait potentiellement une dizaine de millions d’objets connectés, la question se pose encore aujourd’hui. Que va-t-il se poser le jour [demain, NDR] ou les objets connectés se compteront par milliard ? Le bug a été découvert dans le code gSOAP  (Simple Object Access Protocol). Pour faire simple, une gSOAP est une série d’outils qui permettent aux objets connectés de parler et de se faire comprendre sur Internet.

Genivia, la société qui gère gSOAP, annonce avoir plus d’un million de téléchargements, et possède comme client IBM, Microsoft, Adobe ou encore Xerox. « Il est probable que des dizaines de millions de produits – produits logiciels et périphériques connectés – sont affectés par Devil’s Ivy dans une certaine mesure », déclarent les chercheurs de chez Senrio « Nous avons nommé la vulnérabilité Devil’s Ivy car, comme la plante, il est presque impossible de la tuer et elle se propager rapidement grâce à la réutilisation du code« .

Si l’impact de la vulnérabilité Devil’s Ivy est relatif, elle ne permettrait « que » de voir le flux vidéo ou d’interdire l’accès au flux vidéo des caméras concernées, celle-ci montre néanmoins l’importance du risque qui peut en découler et l’intérêt pour les pirates d’identifier des vulnérabilités similaires. « Du fait de l’industrialisation de ces objets et de leur sécurité, une fois une vulnérabilité identifiée, un groupe de malveillants peut très rapidement l’utiliser à des fins d’espionnage, de destruction » souligne Vincent Lavergne, Expert chez F5 Networks. L’internet des objets (IoT) offre un effet de levier sans précédent pour constituer très rapidement un nid conséquent de BotNets, comme ce fût le cas avec Miraï. Miraï ne comportait qu’une centaine de milliers de caméras de vidéo surveillance dans son portefeuille pirate.

Devil’s Ivy

« Dans le cas de cette vulnérabilité, les objets concernés étant déjà déployés, il va être difficile de mettre en place une action corrective à grande échelle pour combler la vulnérabilité. Et c’est l’un des principaux défis de l’IoT : comment gérer la réponse aux incidents pour ce type d’équipement ?  L’internet des objets introduit en effet de nouvelles problématiques pour la sécurité et beaucoup d’entre elles mériteraient des analyses approfondies ou une collaboration entre industriels afin de définir une approche optimale à long terme. La conception et l’implémentation de systèmes IoT vont venir empiler des protocoles, des couches techniques complexes et des programmes qui souffrent parfois de failles de sécurité. On met ainsi le doigt sur le manque de maturité des standards autour de l’internet des objets et d’un cadre de meilleures pratiques à respecter par les développeurs. Chacun se positionne en effet avec ses interfaces, ses plateformes, ses protocoles et – inévitablement – ses vulnérabilités. » termine Vincent Lavergne.

Un exploit utilisant l’idée du Devil’s Ivy entraînerait une exécution de code à distance – dans le boîtier de la caméra – et donc d’accéder à un flux vidéo, ou de couper ce dernier. Étant donné que des caméras de vidéo surveillance sont destinées à sécuriser quelque chose, le danger est réel. Le constructeur de caméra Axis a déclaré que ce problème était présent dans 249 de ses modèles, à l’exception de trois anciens models.