Ouvrir le menu principal

iGeneration

Recherche

Belkin ne compte pas corriger une faille de sécurité d'une prise connectée

Pierre Dandumont

mercredi 17 mai 2023 à 11:30 • 26

Domotique

Vous ne le savez peut-être pas, mais le « S » dans IoT (Internet of Things, le sigle anglophone classique pour les objets connectés) signifie sécurité. Si vous n'avez pas compris la blague, le titre est assez parlant. Belkin a donc décidé de ne pas mettre à jour une prise connectée qui souffre d'un problème de sécurité.

La prise en question (image Belkin).

Une prise qui peut être jailbreakée

Des chercheurs de chez Sternum viennent de publier des explications sur une faille dans la prise connectée Wemo Mini Smart Plug. Elle a été découverte en janvier 2023, rapportée à Belkin en février et a obtenu un identifiant CVE — en résumant, un numéro de faille publique — en mars 2023. Mais visiblement (selon Naked Security), Belkin ne compte pas corriger la faille parce que la prise connectée est en fin de vie.

La vulnérabilité peut être résumée de la façon suivante : le nom de la prise connectée peut être modifié par l'utilisateur, pour le remplacer par quelque chose de plus évident que Wemo mini 6E9 (salon, ampoule, etc.). Mais si l'application limite le nombre de caractères à 30, les développeurs avaient prévu une limite de 68 caractères, et le firmware ne vérifie pas les valeurs entrées. Nous vous passons les détails techniques, mais il est donc possible d'injecter du code en employant des API qui passent par le protocole UPnP, ce qui permet de prendre le contrôle de la prise.

La limite de 30 caractères se limite à l'application.

Si le problème peut sembler anodin, il ne l'est pas : le protocole UPnP est parfois accessible à travers Internet (ce point dépend de vos réglages réseau) et un attaquant qui prend le contrôle d'une prise connectée peut par exemple l'allumer et l'éteindre de façon très rapide, ce qui peut endommager les périphériques branchés dessus. Comme Belkin ne compte pas corriger la faille, deux contre-mesures existent. La première, c'est de ne pas utiliser cette prise avec du matériel sensible. La seconde, c'est de désactiver l'UPnP au niveau de votre routeur ou — si vous en avez besoin pour d'autres appareils — d'empêcher l'accès depuis l'extérieur.

Notons enfin que si Belkin considère le produit en fin de vie, il est encore en vente sur Amazon aux États-Unis. Et il n'est pas exclu que les versions européennes des prises Wemo soient touchées par les mêmes défauts.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

FaceTime se met en pause sous iOS 26 s’il identifie de la nudité, même entre adultes consentants

08:12

• 1


Autonomie : watchOS 26 anticipe les chutes de batterie

07:34

• 2


Pas d’iPad pliable avant longtemps ? Apple mettrait le projet sur pause

07:13

• 3


Passez à CarPlay sans fil pour moins de 20 €

02/07/2025 à 23:49

• 49


CD Audio : quand un auteur veut tellement innover que son album se retrouve illisible

02/07/2025 à 22:35

• 36


Stockage cloud : l’offre pCloud Lifetime avec 70 % de remise jusqu’au 15 juillet 📍

02/07/2025 à 21:08

• 0


Crunchyroll prise la main dans le pot de confiture, en confiant les sous-titres à l’IA

02/07/2025 à 21:05

• 13


SFR laisse fuiter sa nouvelle box, pour une sortie imminente

02/07/2025 à 20:15

• 17


Kernel Panic : que valent les premières bêtas d’iOS et macOS 26 ?

02/07/2025 à 17:00

• 17


SFR : le retour à trois opérateurs se prépare chez Orange, Bouygues et Free

02/07/2025 à 16:12

• 58


SaferPhone : un forfait Orange avec des services de contrôle parental

02/07/2025 à 15:07

• 2


Nintendo affirme que la demande en Switch 2 « dépasse largement ses attentes »

02/07/2025 à 14:44

• 45


iOS 26 : des AirPods et des Beats peuvent mettre en pause la musique quand vous vous endormez

02/07/2025 à 13:18

• 19


Produits Apple : vers une baisse de prix à la rentrée grâce à la faiblesse du dollar ?

02/07/2025 à 11:54

• 30


Phone (3) : Nothing lance un haut de gamme au design toujours excentrique

02/07/2025 à 11:29

• 24


Promo : l’iPad Pro M4 11" nano-texturé à seulement 1 581 € (38 % de réduction !)

02/07/2025 à 09:26

• 12