L’Internet des objets est un tonneau des Danaïdes : un immense réservoir aussi troué que le « méchant » d’un Western série B, affirment Andrei Costin, Jonas Zaddach, Aurélien Francillon et Davide Balzarotti (Eurecom). Ces quatre chercheurs viennent de publier le résultat d’une étude technique aussi succincte (16 pages) que ravageuse.
Ils ont, pour ce faire, récupéré 32 000 firmwares, soit 1,7 million de fichiers uniques. Et même « sans avoir effectué d’analyses sophistiquées, nous avons découvert 38 nouvelles vulnérabilités inconnues à ce jour sur plus de 693 images de firmware » affirment les chercheurs. La découverte de ces défauts peut être étendue à plus de 123 produits différents. De manière générale, l’étude tend à prouver que toutes vulnérabilités confondues, plus de 140 000 systèmes embarqués, accessibles sur Internet, sont entachés de défauts de sécurité, allant de la porte dérobée installée sur un routeur Wifi au système de contrôle défectueux de l’accélérateur d’une automobile. Les défauts en question se retrouvent sur tous les types d’équipements imaginables : équipements grand public vendus dans le commerce de détail ou appareils professionnels genre automates programmables ou actuateurs/capteurs intelligents utilisés dans le cadre d’infrastructures Scada/OIV. Caméras, serveurs, équipements VoIP, Dslam, boîtiers ISDN ou ADSL, passerelles réseau, routeurs… tous n’en meurent pas mais tous en sont frappés. A ne pas lire avant de s’endormir, cauchemars garantis