Pour gérer vos consentements :

Une faille dans OpenSSH âgée de 12 ans fragilise l’IoT

L’Internet des objets est en pleine croissance et la sécurité est au cœur des préoccupations des responsables informatiques. Qui plus est, ces objets connectés sont utilisés par des cybercriminels pour mener des attaques en déni de service. OVH et le spécialiste de la sécurité Brian Krebs en ont fait l’expérience ces dernières semaines.

On apprend maintenant que ces attaques ont été rendues possibles en raison d’une faille présente depuis 12 ans dans OpenSSH. Deux chercheurs d’Akamai, Ory Segal et Ezra Caltum ont découvert cette vulnérabilité et l’ont baptisé SSHowDowN Proxy. Elle vise notamment à enrôler plusieurs objets connectés comme les caméras de surveillance (CCTV) et leurs enregistreurs numériques (DVR), les antennes satellites, les routeurs, les NAS. « Ces dispositifs sont maillés pour attaquer une multitude de sites ou de services Internet à travers http, SMTP ou via un scan réseau », constate les experts. Ils ajoutent que les attaques peuvent aussi cibler les réseaux qui hébergent les objets connectés.

L’ère de l’IoT non-corrigeable a commencé

Pour Ory Segal, directeur de recherche chez Akamai, « nous entrons dans une période très dense en matière de DDoS et d’autres offensives web que l’on qualifie  « The Internet of Unpatchable Things », l’Internet des objets incorrigeables ». Pour lui, le problème réside dès la production de l’objet. « Ils sont expédiés de l’usine avec cette faille et pire encore il n’y a aucun moyen efficace pour la réparer. Pendant des années, nous avons estimé que cet état de fait était simplement théorique, c’est devenu une réalité. »

Afin d’atténuer les menaces, Akamai conseille de modifier les paramètres par défaut des objets dès leur réception. Les deux spécialistes donnent une procédure sur les modifications à apporter.

A lire aussi :

FPGA : l’arme secrète d’OVH pour parer les attaques DDoS

DDoS : le code du botnet IoT Mirai mis en libre-service

© Sergej Khackimullin – Fotolia.com

Recent Posts

Legapass : comment protéger ses données privées jusque dans l’au-delà

Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…

4 heures ago

Iris, un assistant d’IA conversationnelle en langue des signes

Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…

8 heures ago

GenAI : le Royaume-Uni poursuit ses investigations sur les partenariats de Microsoft et Amazon

L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…

1 jour ago

Clients de VMware : les raisons de la colère

Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…

1 jour ago

Laurent Carlier – BNP Paribas Global Market : « L’IA permet de modéliser des relations plus complexes, mais il faut rester prudent »

La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…

1 jour ago

Open Compute Project : les datacenters partagent des bonnes pratiques pour l’environnement

OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…

2 jours ago