Vous ne le savez peut-être pas, mais le « S » dans IoT (Internet of Things, le sigle anglophone classique pour les objets connectés) signifie sécurité. Si vous n'avez pas compris la blague, le titre est assez parlant. Belkin a donc décidé de ne pas mettre à jour une prise connectée qui souffre d'un problème de sécurité.
Une prise qui peut être jailbreakée
Des chercheurs de chez Sternum viennent de publier des explications sur une faille dans la prise connectée Wemo Mini Smart Plug. Elle a été découverte en janvier 2023, rapportée à Belkin en février et a obtenu un identifiant CVE — en résumant, un numéro de faille publique — en mars 2023. Mais visiblement (selon Naked Security), Belkin ne compte pas corriger la faille parce que la prise connectée est en fin de vie.
La vulnérabilité peut être résumée de la façon suivante : le nom de la prise connectée peut être modifié par l'utilisateur, pour le remplacer par quelque chose de plus évident que Wemo mini 6E9 (salon, ampoule, etc.). Mais si l'application limite le nombre de caractères à 30, les développeurs avaient prévu une limite de 68 caractères, et le firmware ne vérifie pas les valeurs entrées. Nous vous passons les détails techniques, mais il est donc possible d'injecter du code en employant des API qui passent par le protocole UPnP, ce qui permet de prendre le contrôle de la prise.
Si le problème peut sembler anodin, il ne l'est pas : le protocole UPnP est parfois accessible à travers Internet (ce point dépend de vos réglages réseau) et un attaquant qui prend le contrôle d'une prise connectée peut par exemple l'allumer et l'éteindre de façon très rapide, ce qui peut endommager les périphériques branchés dessus. Comme Belkin ne compte pas corriger la faille, deux contre-mesures existent. La première, c'est de ne pas utiliser cette prise avec du matériel sensible. La seconde, c'est de désactiver l'UPnP au niveau de votre routeur ou — si vous en avez besoin pour d'autres appareils — d'empêcher l'accès depuis l'extérieur.
Notons enfin que si Belkin considère le produit en fin de vie, il est encore en vente sur Amazon aux États-Unis. Et il n'est pas exclu que les versions européennes des prises Wemo soient touchées par les mêmes défauts.
