De nombreux appareils ne seront jamais corrigés pour corriger le bug Heartbleed

Un bogue de sécurité découvert cette semaine affecte environ les deux tiers des sites Web et oblige les internautes à se démener pour comprendre le problème et mettre à jour leurs mots de passe en ligne. Mais de nombreux systèmes vulnérables à la faille sont hors de vue du public et il est peu probable qu'ils soient réparés.





OpenSSL, dans lequel le bogue, connu sous le nom de Heartbleed, a été découvert, est largement utilisé dans les logiciels qui connectent les appareils des maisons, des bureaux et des environnements industriels à Internet. La faille Heartbleed pourrait perdurer pendant des années dans des appareils tels que le matériel réseau, les systèmes domotiques et même les systèmes de contrôle industriel critiques, car ils sont rarement mis à jour.

Les appareils connectés au réseau exécutent souvent un serveur Web de base pour permettre à un administrateur d'accéder aux panneaux de contrôle en ligne. Dans de nombreux cas, ces serveurs sont sécurisés à l'aide d'OpenSSL et leur logiciel devra être mis à jour, explique Philip Lieberman, président de la société de sécurité. Logiciel Lieberman . Cependant, il est peu probable que ce soit une priorité. Les fabricants de ces appareils ne publieront pas de correctifs pour la grande majorité de leurs appareils, et les consommateurs corrigeront un nombre insignifiant d'appareils.

Les décodeurs de câble et les routeurs Internet domestiques ne sont que deux des principales catégories d'appareils susceptibles d'être affectés, explique Lieberman. Les FAI ont maintenant des millions de ces appareils avec ce bogue, dit-il.



Le même problème affecte probablement de nombreuses entreprises, car de nombreux matériels réseau et systèmes d'automatisation industriels et commerciaux de niveau entreprise reposent également sur OpenSSL, et ces appareils sont également rarement mis à jour. Des analyses à grande échelle d'adresses Internet ont précédemment découvert des centaines de milliers d'appareils, allant de l'équipement informatique aux systèmes de contrôle du trafic, qui sont mal configurés ou n'ont pas été mis à jour pour corriger les failles connues (voir Que s'est-il passé lorsqu'un homme a cinglé l'ensemble de l'Internet ?) .

Contrairement aux serveurs patchés par des armées de personnel informatique d'entreprise, ces appareils connectés à Internet avec des composants OpenSSL vulnérables ne recevront pas l'attention dont ils pourraient avoir besoin, déclare Jonathan Sander, responsable de la stratégie et de la recherche pour Technologies STEALTHbits , qui aide les entreprises à gérer et à suivre l'accès aux données et les fuites. OpenSSL est comme une pièce de moteur défectueuse qui a été utilisée dans chaque marque et modèle de voiture, voiturette de golf et scooter.

Il est difficile d'estimer combien d'appareils connectés à Internet sont sensibles au bug Heartbleed, mais il est présent dans OpenSSL depuis longtemps. Tout ce qui a été compilé dans une version d'OpenSSL entre décembre 2011 et avant-hier pourrait être vulnérable, déclare Mark Schloesser, chercheur en sécurité pour la société de sécurité informatique Rapid7.



Une autre inconnue concerne les données précieuses auxquelles une attaque Heartbleed peut accéder. Schloesser dit que les tests suggèrent jusqu'à présent que cela varie considérablement d'un système à l'autre. Les serveurs de Yahoo, par exemple, ont divulgué les mots de passe des utilisateurs, tandis que d'autres ont révélé peu de valeur.

Tout le monde qui essaie actuellement de déterminer quels systèmes divulguent des informations importantes n'est pas un chercheur en sécurité avec de bonnes intentions. Il y a beaucoup de gens qui essaient d'utiliser cela pour faire une exploitation généralisée, dit Schloesser. Il souligne l'activité observée dans les journaux du serveur Web depuis que le problème a été révélé, montrant des efforts pour trouver des systèmes vulnérables et l'apparition de scripts pouvant être utilisés pour tester les vulnérabilités Heartbleed.

Sander souligne que de nombreux appareils à usage unique, par exemple les thermostats connectés à Internet, ne contiennent pas beaucoup d'informations précieuses. Mais il ajoute qu'ils pourraient se répandre suffisamment pour qu'un attaquant se connecte et prenne le contrôle, et même de petites quantités de données pourraient révéler, par exemple, si quelqu'un est ou non à la maison.



cacher