AsusWRT est une application web servant à configurer son réseau local, relier les objets connectés et autres enceintes « intelligentes ». Devant notamment assurer le lien entre l’équipement local et Internet, AsusWRT nécessite un compte qui enregistre un certain nombre de données.
Selon Noam Rotem et Ran Locar, chercheurs chez vpnMentor, cette base de données a été attaquée par des pirates, qui ont pu en récupérer au moins une partie.
Les informations contenues dans la base n’étaient pas directement identifiantes. Pas de nom, d’adresse postale ou de numéro de téléphone. Cependant, elles sont bien assez précises pour poser problème : adresse IP, nom d’utilisateur, nom de l’appareil, usage, commandes IFTTT, longitude et latitude, pays et ville.
Il est donc en théorie possible de retrouver la maison d’un utilisateur d’AsusWRT. Problématique également, la base contenait la liste des commandes exécutées par Alexa, fournissant également des renseignements sur le quotidien de la personne.
Selon vpnMentor toujours, ASUS a clos sa base de données, dont on se demande pourquoi elle contenait des informations aussi précises. Les chercheurs recommandent de désinstaller AsusWRT et de se rapprocher du constructeur pour lui demander comment se protéger de cette fuite de données.
Commentaires (8)
#1
Le futur que l’on nous prépare a l’air passionnant.
#2
Vraiment, aucune raison de s’inquiéter pour nos données personnelles
" />
#3
rhôô ça va… L’amélioration de ton expérience utilisateur vaut bien ça non ?
" />
#4
C’est l’une des raisons pour lesquelles j’ai renvoyé il y a quelques mois un routeur ASUS que j’avais acheté. L’appli est plutôt bien foutu, mais l’activation de certaines fonctionnalités implique d’accepter d’envoyer des infos (ici à Asus, pour d’autres modules à Trendmicro). Sur un routeur, qui est censé garantir un certain niveau de sécurité, ça la fout mal.
#5
J’ai un routeur Asus depuis Nov 2014 (5 ans). J’ai simplement refusé d’utiliser leur fonctionalité AI Cloud (y inclus celles liés à TrendMicro) et je n’utilise pas leur application mobile. Du coup, je n’ai pas besoin de compte Asus. J’ai juste un compte local sur le routeur. Ca marche et ca ne risque pas de fuite de données.
Note que j’ai testé ces fonctionalités à un instant donné par le passé. Elles n’apportent rien vraiment de nécessaires et je les ai abandonnées toutes. J’ai utilisé leur App un peu plus longuement car elle est sympa. Mais quand ils ont activé automatiquement l’interface admin web sur le WAN pour permettre de l’utiliser hors de chez soi, ma réponse fut directe : désinstallation de l’App.
Bref, Asus n’est pas clean sur ses features spéciales. Mais 5 ans après l’achat, il y a toujours de mises à jour de fonctionalité et de sécurité pour ce routeur. Je connais peu de constructeur grand public avec un tel support! (Après il faut rester lucide sur ces mises à jour de sécurité, car par example le kernel Linux est complètement obsolète… mais sur ce genre de matériel, les smartphones et le monde embarqué en général c’est trop souvent le cas)
Toutefois, j’en change enfin pour un routeur fait maison, je veux des fonctionalités plus avancées côté réseau (e.g. VLAN, etc.) et au delà de 600Mb/s il ne suit pas or ma connection est maintenant à 400Mb/s bref bientôt il ne tiendra plus la charge. Mais pour du grand public, ces petits routeurs sont très bien et sans utiliser de compte Asus, ils ont toutes les fonctions nécessaires.
#6
#7
Sinon il y ahttps://www.asuswrt-merlin.net/ :) Et ça tourne même sur Linksys EA6900 / Netgear R7000 en cherchant un peu…. rapport fonctionnalités/sécurité/prix imbattable.
#8
Il est clair que le firmware Asuswrt-Merlin est vraiment un must-have. Le seul reproche que je lui fais (pour mon utilisation) , il spam toutes les 5s l’adresse dns.msftncsi.com, chose que j’ai découvert grâce à Pi hole.
https://www.snbforums.com/threads/constant-unwanted-traffic-to-dns-msftncsi-com-…
Et comme il accepte les scripts, on peut en faire un Pi hole du pauvre (sans sa simplicité/convivialité)