Belkin ne compte pas corriger une faille de sécurité d'une prise connectée
Vous ne le savez peut-être pas, mais le « S » dans IoT (Internet of Things, le sigle anglophone classique pour les objets connectés) signifie sécurité. Si vous n'avez pas compris la blague, le titre est assez parlant. Belkin a donc décidé de ne pas mettre à jour une prise connectée qui souffre d'un problème de sécurité.
Une prise qui peut être jailbreakée
Des chercheurs de chez Sternum viennent de publier des explications sur une faille dans la prise connectée Wemo Mini Smart Plug. Elle a été découverte en janvier 2023, rapportée à Belkin en février et a obtenu un identifiant CVE — en résumant, un numéro de faille publique — en mars 2023. Mais visiblement (selon Naked Security), Belkin ne compte pas corriger la faille parce que la prise connectée est en fin de vie.
La vulnérabilité peut être résumée de la façon suivante : le nom de la prise connectée peut être modifié par l'utilisateur, pour le remplacer par quelque chose de plus évident que Wemo mini 6E9 (salon, ampoule, etc.). Mais si l'application limite le nombre de caractères à 30, les développeurs avaient prévu une limite de 68 caractères, et le firmware ne vérifie pas les valeurs entrées. Nous vous passons les détails techniques, mais il est donc possible d'injecter du code en employant des API qui passent par le protocole UPnP, ce qui permet de prendre le contrôle de la prise.
Si le problème peut sembler anodin, il ne l'est pas : le protocole UPnP est parfois accessible à travers Internet (ce point dépend de vos réglages réseau) et un attaquant qui prend le contrôle d'une prise connectée peut par exemple l'allumer et l'éteindre de façon très rapide, ce qui peut endommager les périphériques branchés dessus. Comme Belkin ne compte pas corriger la faille, deux contre-mesures existent. La première, c'est de ne pas utiliser cette prise avec du matériel sensible. La seconde, c'est de désactiver l'UPnP au niveau de votre routeur ou — si vous en avez besoin pour d'autres appareils — d'empêcher l'accès depuis l'extérieur.
Notons enfin que si Belkin considère le produit en fin de vie, il est encore en vente sur Amazon aux États-Unis. Et il n'est pas exclu que les versions européennes des prises Wemo soient touchées par les mêmes défauts.
Produit en fin de vie... donc sous prétexte qu'ils arrêtent de le vendre ils considèrent qu'on peut laisser tomber ceux qui l'utilisent...
@bidibout
Le pire, c’est qu’ils estiment pouvoir se débarrasser du stock restant, sans mise à jour du problème ou plus prudemment, en rappelant les prises incriminées !!
L'UPNP devrait toujours être désactivé dans un router de toute façon.
@Adodane
Ça dépend pourquoi de ce que j’ai vu🤔🤔🤔
@Krysten2001
Aucune raison légitime. L’UPnP est un trou de sécurité qu’il n’y a aucune raison de laisser ouvert, qui plus est à l’insu des utilisateurs non expert de la chose qui n’iront pas vérifier dans leur box si ce machin est actif ou non.
L’UPnP dans les routeurs, c’est ce qui permet à n’importe quel appareil du réseau local d’ouvrir un port entrant dans le NAT. Donc un logiciel malveillant peut également s’en servir, par exemple pour rendre votre PC accessible depuis Internet.
@nmo
Et une fois qu’on le désactive, ne va-t-on pas ressentir de différence ??🤔
@Krysten2001
Seulement avec des applications ou appareils mal conçus, donc qui systématiquement doivent être bridés et isolés sur un réseau protégé.
A la bonne nouvelle !
Allez hop, pas d’object domotique de chez Belkin chez moi. Bon débarras !
@Ourson
Tu vas pouvoir blacklister… toutes les marques de domotique en fait 😅
@armandgz123
Je serai très vigilant, on ne badine pas avec la sécurité d’un foyer ⚠️
@Ourson
C’est vrai ! Bon moi je ne fais pas gaffe pour les prises (relier qu’à des lampes) et les ampoules, il n’y a pas de risque je pense.
(En plus j’ai une sécurité HomeKit intégré à mon routeur, je ne sais pas si ça empêche ce genre d’attaque)
@armandgz123
Ça me rappelle l’histoire d’un restaurant qui s’était fait pirater à cause de son système de nettoyage d’aquarium connecté… ça peut aller loin
@Ourson
Ah ouais chaud 😅
Class action dans 3,2,1…
Si j’ai bien compris en faisant une bête mise à jour du firmware qui bloquerait le nombre de caractères à 30 dans l’appli et le système, le problème serait réglé. Mais non, pas de mise à jour…
@Pierre Dandumont
Donc, j’ai bien compris. Il suffit de bloquer un nombre de caractères. Une ligne de code… bravo !
@Nesus
Effectivement, c’est sûrement une ligne de code.
Mais il faut aussi voir derrière s’ils ont prévu un système pour mettre à jour le firmware depuis l’app.
@MrYOSS
Oui. Il y a un système de mise à jour.
Qui affiche actuellement « aucune maj disponible »
Quand le firmware d'un produit connecté que vous utilisez n'est pas libre, quand il n'est pas possible de le reconstruire et de le mettre dans votre produit, alors votre produit à la durée de vie et/ou d'utilisation exacte que le constructeur à bien voulu lui accorder.
c’est terrible car belkin a plutôt bonne réputation
Belkin partenaire privilégié d’Apple ? Ça pourrait changer à l’avenir 😈
Quelle honte … c’est de la me*rde Apple 😳🙄
Il n'est pas rare que ce genre d'équipement domotique basique, ne soit pas conçu pour recevoir la moindre mise à jour firmware. C'est peut-être ça le problème de Belkin pour corriger cette faille... une impossibilité technique à diffuser le correctif.
@SyMich
Alors, je ne sais pas pour celle-là, mais j’ai une weemo (qui prend la poussière) et avec l’application en Bluetooth, je n’avais aucun problème à la mettre à jour.
Voilà pourquoi je ne veux pas avoir ce genre de gadget chez moi. Marre de ces nid à failles de sécurité et toujours sous la menace d’une intrusion. Une bonne vieille ampoule et basta. Pas besoin de ces ampoules connectées.