Ouvrir le menu principal

iGeneration

Recherche

Belkin ne compte pas corriger une faille de sécurité d'une prise connectée

Pierre Dandumont

mercredi 17 mai 2023 à 11:30 • 26

Domotique

Vous ne le savez peut-être pas, mais le « S » dans IoT (Internet of Things, le sigle anglophone classique pour les objets connectés) signifie sécurité. Si vous n'avez pas compris la blague, le titre est assez parlant. Belkin a donc décidé de ne pas mettre à jour une prise connectée qui souffre d'un problème de sécurité.

La prise en question (image Belkin).

Une prise qui peut être jailbreakée

Des chercheurs de chez Sternum viennent de publier des explications sur une faille dans la prise connectée Wemo Mini Smart Plug. Elle a été découverte en janvier 2023, rapportée à Belkin en février et a obtenu un identifiant CVE — en résumant, un numéro de faille publique — en mars 2023. Mais visiblement (selon Naked Security), Belkin ne compte pas corriger la faille parce que la prise connectée est en fin de vie.

La vulnérabilité peut être résumée de la façon suivante : le nom de la prise connectée peut être modifié par l'utilisateur, pour le remplacer par quelque chose de plus évident que Wemo mini 6E9 (salon, ampoule, etc.). Mais si l'application limite le nombre de caractères à 30, les développeurs avaient prévu une limite de 68 caractères, et le firmware ne vérifie pas les valeurs entrées. Nous vous passons les détails techniques, mais il est donc possible d'injecter du code en employant des API qui passent par le protocole UPnP, ce qui permet de prendre le contrôle de la prise.

La limite de 30 caractères se limite à l'application.

Si le problème peut sembler anodin, il ne l'est pas : le protocole UPnP est parfois accessible à travers Internet (ce point dépend de vos réglages réseau) et un attaquant qui prend le contrôle d'une prise connectée peut par exemple l'allumer et l'éteindre de façon très rapide, ce qui peut endommager les périphériques branchés dessus. Comme Belkin ne compte pas corriger la faille, deux contre-mesures existent. La première, c'est de ne pas utiliser cette prise avec du matériel sensible. La seconde, c'est de désactiver l'UPnP au niveau de votre routeur ou — si vous en avez besoin pour d'autres appareils — d'empêcher l'accès depuis l'extérieur.

Notons enfin que si Belkin considère le produit en fin de vie, il est encore en vente sur Amazon aux États-Unis. Et il n'est pas exclu que les versions européennes des prises Wemo soient touchées par les mêmes défauts.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Paiement mobile : PayPal va bientôt concurrencer Apple Pay en Allemagne

05/05/2025 à 22:50

• 9


L’iPhone « Air » s’agrandirait avec le temps

05/05/2025 à 21:41

• 22


App carte Vitale : une mise à jour règle un problème d’identification

05/05/2025 à 20:48

• 12


YouTube teste une formule Premium pour deux à 20 €

05/05/2025 à 16:56

• 58


Apple pas peu fière de lancer un nouveau bracelet Pride pour l’Apple Watch

05/05/2025 à 15:36

• 132


Free remboursera les frais de résiliation de B&You

05/05/2025 à 14:21

• 11


iPhone 17e, iPhone 18e… Apple irait bien vers un rythme annuel

05/05/2025 à 14:12

• 15


iPhone 18 Pro à l’automne, iPhone 18(e) au printemps suivant : la sortie décalée de nouveau projetée

05/05/2025 à 12:38

• 23


Pour retenir des clients, Free Mobile baisse exceptionnellement le prix de leur forfait 350 Go

05/05/2025 à 10:14

• 23


Android : Google travaille sur un mode bureau pour les smartphones connectés à un écran externe

05/05/2025 à 10:01

• 16


Test du Chipolo Pop, le traqueur Bluetooth multi-réseau (Apple ou Google) qui innove

04/05/2025 à 10:00

• 12


Sortie de veille : Apple tient bon la barre, mais cela va-t-il durer ?

03/05/2025 à 23:02

• 25


iPhone Air, Pro et pliable : Apple prépare de grands bouleversements

03/05/2025 à 18:51

• 99


Tim Cook restreint la communication sur les performances du C1, mais n’en pense pas moins

02/05/2025 à 22:00

• 20


L’utilitaire pour activer JIT StikDebug est désormais disponible sur l’App Store

02/05/2025 à 18:00

• 2


Un paquet de projecteurs Epson sont désormais compatibles AirPlay et HomeKit

02/05/2025 à 17:00

• 8