D-Link attaqué aux États-Unis sur la sécurité de ses routeurs et caméras IP
Hardcode all the passwords!
Le 06 janvier 2017 à 13h00
4 min
Internet
Internet
L'Autorité américaine de la concurrence, la FTC, attaque D-Link sur plusieurs problèmes de sécurité dans des objets connectés, que la société n'aurait pas suffisamment surveillés. Une attitude qui n'est pas rare, des erreurs similaires ayant été régulièrement relevées ces derniers mois.
Alors que D-Link multiplie les annonces au CES de Las Vegas, l'Autorité américaine de la concurrence (FTC) attaque l'entreprise en justice, sur la sécurité de ses produits. La Federal Trade Commission a porté plainte contre le fabricant devant un tribunal californien, pour d'importantes erreurs de sécurité relevées sur certains de ses routeurs et caméras IP. Pour la FTC, D-Link n'a pas pris les mesures adéquates pour protéger ses équipements.
« Les pirates ciblent de plus en plus les routeurs et caméras IP, avec comme conséquence possible la compromission des appareils et l'exposition de données personnelles sensibles » affirme Jessica Rich, la directrice du bureau de protection des consommateurs de la commission. Le risque ? L'implantation de malwares et l'exploitation de vulnérabilités, parfois pendant de longues périodes.
Des erreurs de conception basiques mais communes
Le reproche global est d'avoir laissé les appareils « vulnérables aux pirates et [de] mettre en danger la vie privée des consommateurs américains ». Cinq failles avaient notamment été découvertes en juillet dans des caméras IP de la marque.
Dans sa plainte, la FTC reproche quatre problèmes précis au constructeur. D'abord, les identifiants de certaines caméras IP étaient écrits dans leur code, « en plus d'autres portes dérobées » ; un comportement malheureusement commun. En parallèle, des routeurs D-Link étaient vulnérables à des injections de commandes à partir d'Internet, selon la commission. Plus grave encore, une clé privée servant à s'identifier dans des logiciels D-Link a été « mal gérée », un euphémisme pour « placée sur un site web public pendant six mois ». Enfin, les identifiants étaient stockés en clair dans l'application mobile.
Concrètement, la commission affirme que des pirates pouvaient compromettre le routeur, obtenir les données d'un disque dur connecté, attaquer les terminaux sur le réseau local, voire les rediriger vers un site malveillant. Du côté des caméras, c'est bien entendu l'espionnage discret du propriétaire qui soucie le plus le gendarme américain.
La sécurité des objets connectés, de plus en plus sensible
Ce n'est pas la première société à être attaquée par la FTC sur le sujet. Comme le rappelle la commission, elle a déjà attaqué ASUS et TRENDnet, l'un pour des routeurs et services cloud, l'autre pour des caméras IP. On ne change pas une équipe qui gagne.
Ces derniers mois, ces objets ont d'ailleurs été très remarqués, avec l'émergence de botnets s'appuyant fortement sur les caméras IP. C'est le cas de Mirai, qui a causé la chute du fournisseur de services DNS Dyn pendant plusieurs heures (voir notre analyse), mis hors service 900 000 routeurs en Allemagne et des dizaines de milliers d'autres au Royaume-Uni. Une marque chinoise de caméras IP a d'ailleurs battu le rappel de certains de ses modèles, sur lesquels les identifiants étaient inscrits en dur.
La sécurité doit donc devenir un axe important du développement de l'Internet des objets. Une vision poussée aujourd'hui par des experts, qui doit encore trouver un écho chez l'ensemble des constructeurs, notamment ceux investissant peu dans leurs logiciels. Des actions comme celle de la FTC contre D-Link devraient donc contribuer à amplifier le mouvement, en plus de l'engagement d'organismes comme la fondation Mozilla sur le sujet.
D-Link attaqué aux États-Unis sur la sécurité de ses routeurs et caméras IP
-
Des erreurs de conception basiques mais communes
-
La sécurité des objets connectés, de plus en plus sensible
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 06/01/2017 à 13h35
Et oui, ca leur fait de la mauvaise pub.
Achetez nos bon produit americains avec les failles officielles NSA compliant!
Le 06/01/2017 à 13h39
Ou bien, les entreprises US connaissent bien les codes de la justice US et savent lui répondre pour éviter qu’elle s’intéresse à eux.
Le 06/01/2017 à 13h47
Se baser sur un article pour tirer une telle conclusion, bravo, tu devrais postuler chez Closer :)
Voilà la liste des actions menées par la FTC :https://www.ftc.gov/enforcement/cases-proceedings
Tu peux chercher (et trouver, ô miracle) de petites sociétés américaines telles que Apple, Microsoft, Facebook ou encore Google.
Le 06/01/2017 à 13h54
Pour avoir inscrit en dur les login et password, les devs du firmware devraient êtres lapidés sur la place publique ! Sérieusement c’est juste inadmissible ! " />
Le 06/01/2017 à 14h07
Et on ajoute à ça les mots de passes stockés en clair sur les routeurs Asus.
Le 06/01/2017 à 14h07
Et on ajoute à ça les mots de passes stockés en clair sur les routeurs Asus.
Le 06/01/2017 à 14h12
Cela étant D-Link c’est vraiment de la daube peu importe le pays d’origine.
Le 06/01/2017 à 14h31
Merci pour le lien
Le 06/01/2017 à 14h48
C’est toujours le cas?
(ça se base pourtant sur un firmware opensource il me semble.
Ils ont foutu quoi pour pourri le truc existant? )
Le 06/01/2017 à 16h49
J’ai une caméra D-Link, je confirme la (bonne grosse) daube.
Le 06/01/2017 à 13h18
La justice Américaines ne s’attaque jamais aux produits Américain, etrange