Le travail commun de chercheurs italiens et britanniques a permis de mettre en évidence plusieurs failles dans un objet assez anodin et auquel l’on ne pense pas forcément (notamment du point de vue de la sécurité), mais qui, avec la démocratisation de l’Internet of Things (IoT), a beaucoup pénétré notre quotidien ces dernières années pour son côté pratique et personnalisable, à savoir l’ampoule connectée ! C’est plus spécifiquement dans le modèle Tapo L530E de TP-Link - assez réputé et vendu, même chez nous - que ces 4 failles ont été découvertes. De quoi s’agit-il ? Avant toute chose, voici l’objet incriminé et sa page produit pour mieux le connaitre !
La première faille est la plus sévère, avec son score CVSS 3.1 de 8,8/10, sa gravité est donc élevée. La vulnérabilité en question concerne une authentification incorrecte sur l’ampoule Tapo L530E pouvant être exploitée par un pirate pour se faire passer pour cette dernière lors de l’étape d’échange de clés de session et ainsi s’identifier dans l’application de gestion de l’équipement (Tapo). En parallèle, un autre attaquant peut ensuite utiliser cette faille pour récupérer les mots de passe Tapo de l’utilisateur, mais aussi ceux de son réseau Wi-Fi et ainsi avoir accès à tous les appareils connectés au réseau. La seconde faille est également sévère, mais avec une note CVSS 3.1 légèrement inférieure de 7,6/10. Elle concerne à la fois l’ampoule et l’application, et plus exactement le checksum court secret codé en dur partagé entre les deux, que les pirates peuvent obtenir par force brute ou en décompilant l’application Tapo.
Les deux dernières failles sont classées comme étant moyennement sévères sur l’échelle CVSS. La troisième découle du manque d’"aléatoire" lors du chiffrement symétrique, ce qui rend le schéma cryptographique des ampoules LE530E trop prévisible et donc facile à contourner. La quatrième vient d’un manque de vérification de la fraicheur des messages (commandes) réceptionnés et fait que les clés de session restent ainsi valides pendant 24 heures, donnant la possibilité à un pirate de rejouer/répliquer ces messages à leur guise, comme ceux d’une attaque, pour altérer le fonctionnement de l’appareil.
À savoir que le premier scénario d’attaque démontré nécessite que l’appareil soit en mode "setup" pour fonctionner, en plus de devoir être à portée de l’ampoule et du réseau Wi-Fi de la cible. Mais dans le cas d’une ampoule déjà configurée, il est possible pour l’attaquant de forcer une désauthentification afin de forcer l’utilisateur à la reconfigurer - ce qui aura pour effet d’exposer son SSID - pour rétablir son bon fonctionnement. Enfin, les chercheurs ont aussi démontré la faisabilité d’une attaque Man-In-The-Middle, à la fois avec une ampoule Tapoe L530E préconfigurée et non configurée, en exploitant les différentes failles pour arriver à intercepter communications et informations sensibles.
Certes, le fait de devoir être à portée du réseau limite déjà quelque peu le danger, du moins à la campagne, quand même moins en ville où les réseaux ont tendance à se chevaucher. En tout cas, c’est un très bon rappel que malgré le côté pratique des appareils connectés, la multiplication de ceux-ci augmente inévitablement aussi les risques, d’autant plus que tous les fabricants ne sont pas des plus assidus avec la sécurité de ce genre d’appareils, et ce, encore moins sur la durée. De manière générale, il est préférable de garder un appareil IoT isolé autant que possible des réseaux sensibles, de toujours mettre à jour firmware(s) et application(s) associée(s), en plus d’utiliser des mots de passe forts et une solution d’authentification 2FA si disponible. Accessoirement, être sympa avec ses voisins proches peut aussi aider un peu à limiter les risques, surtout s’ils bossent dans l’IT. Ça et peut-être éviter d’attirer l’attention avec un SSID à l’appellation trop spécifique/particulière.
Dans le cas présent, TP-Link a été informé par les chercheurs de leur découverte. Le fabricant en a accusé bonne réception et a assuré que le nécessaire sera fait "bientôt". Mais le papier détaillant tout le travail des chercheurs ne dit pas si les correctifs ont déjà été distribués et quelles sont les versions impactées par ces failles. (Source : BleepingComputer)