Des centaines de millions d'appareils connectés peuvent être vulnérables à des attaques à distance en raison d'une série de 19 vulnérabilités dans une bibliothèque logicielle TCP/IP populaire développée par une société de logiciels appelée Treck. Collectivement baptisées Ripple20, ces failles affectent les dispositifs IdO produits par des vendeurs spécialisés ainsi que par de nombreuses sociétés du Fortune 500, selon la société de sécurité israélienne JSOF, qui a découvert ces failles de sécurité.

Parmi les produits vulnérables figurent les dispositifs "smart-home", les systèmes de contrôle industriel, les systèmes médicaux et de soins de santé, et même les dispositifs utilisés dans des parties clés des infrastructures telles que l'énergie, le transport, la communication et les secteurs du gouvernement et de la sécurité nationale.

JSOF a mis en évidence quelques scénarios à haut risque possibles qui pourraient se produire si ces failles étaient utilisées comme armes :

« Des données pourraient être volées sur une imprimante, le comportement d'une pompe à perfusion pourrait être modifié, ou des dispositifs de contrôle industriels pourraient être mis en panne. Un attaquant pourrait cacher du code malveillant dans des appareils intégrés pendant des années. L'une des vulnérabilités pourrait permettre de pénétrer de l'extérieur dans les limites du réseau » soulignent les experts de JSOF. L’organisation précise qu’il ne s’agit là que d'un échantillon des dégâts qui pourraient être causés.

L'un des principaux défis auxquels les chercheurs ont dû faire face consistait à suivre la piste de distribution de la bibliothèque TCP/IP de Treck. Ils ont découvert qu'au cours des 20 dernières années, elle a fait son chemin dans d'innombrables appareils distribués dans le monde entier. Ils ont même découvert différentes branches de la bibliothèque grâce au projet commun de Treck avec une société japonaise dans les années 1990. Treck a depuis pris ses distances de cette société.

Selon un avis de sécurité émis par l'Agence de cybersécurité et d'infrastructure et de sécurité (CISA) du ministère de la sécurité intérieure, quatre vulnérabilités sont considérées comme critiques et ont obtenu une note de base supérieure à 9 sur l'échelle de vulnérabilité CVSSv3 (l'échelle va de 1 à 10).

Deux failles - CVE-2020-11896 et CVE-2020-11897 - ont obtenu une note de gravité « parfaite », soit de 10, hors limites. Deux autres vulnérabilités ont été jugées critique : CVE-2020-11898 pourrait entraîner une fuite d'informations et CVE-2020-11901 pourrait permettre l'exécution de code à distance par le biais d'une seule réponse DNS non valide.

LECTURE LIÉE : Que se passe‑t‑il lorsque la chaîne d’approvisionnement mondiale se brise?

Quatre failles - une de haute et trois de basse gravité - ont été comblées au fil des ans grâce à des changements de code de routine, mais sont restées ouvertes sur certains appareils concernés, tandis que de nombreux autres présentent de multiples variantes en raison de la configurabilité et des changements de la pile TCP/IP.

Toutefois, Ripple20 présente toujours un risque important pour les appareils qui sont encore utilisés. « Dans tous les scénarios, un attaquant peut obtenir le contrôle complet du dispositif ciblé à distance, sans aucune interaction avec l'utilisateur », a déclaré la JSOF.

Pour atténuer les risques, la JSOF a formulé diverses recommandations, notamment une évaluation complète des risques avant le déploiement de mesures défensives. Les équipes d'intervention en cas d'urgence informatique (CERT), telles que le centre de coordination CERT de Carnegie Mellon, le JPCERT/CC, et CERT IL, ont également publié des avis sur la manière de gérer les risques découlant de Ripple20. Si des correctifs ont été publiés, vous devez les appliquer dès maintenant.