octobre 29th, 2013

Lorsque, au début du mois, Adobe avouait avoir été victime d’une intrusion et s’être fait dérober un nombre important de comptes d’accès clients, il n’était question « que » de 3 millions de victimes potentielles. Mais peu de temps après, anonnews.org publiait un fichier de plus de 150 millions d’identités numériques, dont une partie du contenu pourrait être recoupé avec la liste des clients Adobe. Après enquête, Brian Krebs estime qu’au final, ce sont plus de 38 millions de comptes actifs qui se sont donc retrouvés dans la nature. Chiffres confirmés par un porte-parole de l’éditeur.

Dans un cas, on parle de faille, dans les deux autres, le mot de « backdoor » est avancé. Le résultat final est strictement le même : les appareils mentionnés sont « rootables » à distance.

Chez Netgear, il s’agit de la gamme ReadyNAS équipés du firmware RAIDiator antérieur à la version 4.2.24. L’alerte a été lancée par Tripwire, et il semblerait (les NAS étant des périphériques souvent oubliés) que la grande majorité de ces systèmes soit encore vulnérable et risque de le demeurer encore un bout de temps. L’attaque utilise une vulnérabilité accessible depuis l’interface Web d’administration, un grand classique du genre.

Les trappes des routeurs Dlink et Tenda sont d’un tout autre calibre, et semblent faire partie d’une grande campagne de rechercher et de fuzzing conduite par l’équipe de /dev/ttyS0. Une phrase magique, xmlset_roodkcableoj28840ybtide, donne accès aux entrailles du routeur (lire la « phrase clef » à l’envers pour en apprécier l’humour de son auteur). Chez Tenda, constructeur Chinois, le mot de passe est « w302r_mfg ». Un paramètre donne le privilège root. Il semblerait que, dans les deux cas, il s’agisse de trappes réservées au debuging de l’appareil, routines qui n’auraient pas été éliminées du code une fois l’appareil mis sur le marché. Mais en ces périodes d’espionnite généralisée, un trou n’est plus un trou, une faille ou un oubli se transforme en usine à FUD….

Par mesure de prudence, il est conseillé de garder un œil sur le blog de /dev/ttyS0. Certains « month of xx bug » ont débuté de manière toute aussi innocente. En outre, les équipements de commutation et appliance sont en général hors du périmètre de contrôle des outils de protection couramment utilisés par les PME et artisans, et donc moins soumis à la pression des chasseurs de bug. Par voie de conséquence, on peut estimer que le nombre de failles exploitables y est légèrement supérieur à la moyenne de celles comptabilisées au cœur des systèmes d’exploitation ou des applications bureautiques, par exemple.