Les failles TCP/IP Ripple20, un risque durable pour les dispositifs IoT
Un patch est disponible pour contrer Ripple20, mais la faille de sécurité affectant une bibliothèque TCP/IP utilisée par des millions de dispositifs IoT sera difficile à corriger.
Découverte la semaine dernière, la série de vulnérabilités critiques de sécurité réseau baptisée Ripple20 a secoué le monde de l'IoT. Si la faille de corruption de mémoire expose dangereusement les dispositifs IoT des entreprises équipées, elle est aussi difficile à résoudre. Découverte en septembre 2019 par l'entreprise de sécurité israélienne JSOF, la vulnérabilité Ripple20 affecte les protocoles réseau propriétaires développés par une petite entreprise de l'Ohio appelée Treck et intégrés dans une bibliothèque TCP/IP. « Plusieurs de ces vulnérabilités permettraient l'exécution de codes à distance, et par conséquent le vol de données, les prises de contrôle malveillantes et plus encore », a déclaré JSOF.
Mais le problème ne s'arrête pas là. La bibliothèque TCP/IP affectée pas ces vulnérabilités est utilisée par un grand nombre d'appareils connectés, des appareils médicaux jusqu'aux systèmes de contrôle industriels en passant par les imprimantes, les caméras IP et les systèmes de vidéoconférence. Mais le déploiement et l'application du correctif livré par Treck - il corrige les 19 failles identifiées - n'est pas une mince affaire. Selon JSOF, « des centaines de millions » d'appareils pourraient être affectés. « Or un grand nombre d'entre eux ne sont pas conçus pour recevoir des correctifs à distance », comme l'a déclaré Terry Dunlap, co-fondateur du fournisseur de sécurité ReFirm Labs. En effet, de nombreux obstacles empêchent l'application de patchs, en particulier sur les anciens équipements. « Combien d'appareils de ce genre ont été oubliés dans un placard depuis des années sans jamais être déplacés ou contrôlés ? Ces attaques potentielles sur la pile TCP/IP menacent directement le noyau du réseau de ces appareils », a-t-il ajouté.
Des failles difficiles à détecter
« Savoir si les réseaux d'une entreprise sont affectés ou non par ces failles est en lui-même un défi », a renchéri Brian Kime, analyste senior de Forrester Research. « Les scanners de vulnérabilité des réseaux ont du mal à détecter les failles présentes dans ces bibliothèques », a-t-il déclaré. « Ces failles ne sont pas vraiment visibles et ne se manifestent pas quand une connexion est établie avec l'extérieur ». Pour arriver à savoir si une entreprise utilise des appareils vulnérables, une plongée en profondeur dans la chaîne d'approvisionnement peut s'avérer nécessaire. Pour cela, l'entreprise doit contacter les fournisseurs et les sous-traitants de ses matériels pour savoir s'ils ont utilisé la bibliothèque TCP/IP incriminée dans leur produit. « Il sera difficile de réparer les dispositifs actuels », a ajouté M. Kime. « Parce que cette bibliothèque est intégrée et que les fournisseurs ne fournissent pas le détail de tous les composants logiciels qu'ils mettent dans leurs appareils, il est probable que les entreprises ne pourront pas trouver cette information en consultant simplement le site web du fournisseur ».
Des opérations sont déjà en cours pour réparer les appareils concernés, mais la tâche est gigantesque, car elle implique des dizaines et des dizaines d'entreprises à tous les niveaux de la chaîne d'approvisionnement. Pour savoir si elles sont potentiellement exposées à la vulnérabilité Ripple20, les entreprises devront travailler en étroite collaboration avec les vendeurs, leurs fournisseurs et tous ceux qui auraient pu intervenir dans la chaîne d'approvisionnement du produit. M. Dunlap suggère aux fournisseurs et équipementiers dont les produits utilisent la bibliothèque TCP/IP propriétaire, d'utiliser à la place l'une des nombreuses options open source disponibles. « Une pile propriétaire n'apporte rien de plus que la pile open source déjà existante », a-t-il déclaré. Point rassurant : rien n'indique à ce stade que la vulnérabilité Ripple20 est exploitée. Mais cela pourrait changer, car les acteurs malveillants n'attendent pas longtemps avant de développer des exploits après que les failles ont été rendues publiques. Cependant, M. Dunlap pense qu'ils ne sont pas encore prêts pour profiter de Ripple20.
Identifier les appareils IoT concernés
Heureusement aussi, les équipements les plus critiques affectés par la vulnérabilité et pouvant être ciblés par des attaquants, ne sont pas visibles sur l'Internet en général et n'ont pas de connexion directe avec lui. Ainsi, pour mener une attaque à la Stuxnet, tout à fait possible dans ce cas, l'attaquant devra adopter à peu près les mêmes modalités, soit via « sneakernet » et une clé USB infectée soit en s'appuyant sur une autre technique classique de livraison de malwares. « Beaucoup de ces systèmes embarqués vulnérables à Ripple20 ne sont pas accessibles au public », a-encore déclaré M. Dunlap. « Par contre, ils peuvent être connectés à un Intranet, et si une entreprise est victime d'une attaque de phishing sophistiquée, une intrusion n'est pas impossible ». Dans un post officiel, l'entreprise JSOF a livré des informations supplémentaires sur les appareils IoT pouvant être affectés. Elles peuvent aider les entreprises à identifier leurs appareils et à éviter une violation de données.