En coordination avec l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), Mandiant a révélé une faille à risque critique. Cette vulnérabilité concerne plusieurs millions d'objets connectés utilisant le réseau « Kalay » de ThroughTek.
Des chercheurs de la société de sécurité Mandiant ont découvert la vulnérabilité fin 2020. Elle laisse aux pirates la possibilité de compromettre à distance les appareils IoT des victimes ce qui leur permet d'écouter des fichiers audio en direct. Ainsi, ces hackers peuvent regarder des données vidéo en temps réel et compromettre les informations d'identification de l'appareil.
Mandiant publie une faille de sécurité affectant la plateforme Kalay
ThroughTek a annoncé avoir plus de 83 millions de dispositifs actifs et plus de 1,1 milliard de connexions mensuelles sur sa plateforme Kalay. Parmi ses clients figurent des fabricants de caméras IoT, des moniteurs pour bébé et des produits d'enregistrement vidéo numérique (« DVR »).
À travers cette nouvelle vulnérabilité, les attaquants peuvent communiquer avec des appareils distants pour en prendre le contrôle. En effet, ils ont la possibilité de se connecter à un appareil à leur guise, de récupérer des données audio et vidéo.
De plus, en utilisant l'API à distance, ils arrivent à déclencher une mise à jour du firmware, à changer l'angle de vue d'une caméra. Tout cela, sans que l'utilisateur se rende compte de ce qui se passe. D'ailleurs, il ne subira qu'un bref décalage de connexion. Même s'il réinitialise complètement son équipement, il suffit à l'attaquant de relancer l'exploit avec les identifiants de sécurité du fabricant.
Mécanisme de sécurité de la plateforme Kalay
Le protocole Kalay est mis en œuvre sous la forme d'un kit de développement logiciel (« SDK »). Il se trouve dans les logiciels clients, d'application mobile ou de bureau, et dans les appareils IoT en réseau, tels que les caméras intelligentes.
Thoughtek note que la version 3.1.10 de son SDK, publiée en 2018, a corrigé la vulnérabilité. Cependant, ce n'est pas aux utilisateurs finaux d'appliquer directement ces mises à jour. Il appartient plutôt aux fabricants et aux entreprises de l'IoT qui achètent des appareils à ces fabricants.
Comme l'IoT continue de se développer, la découverte d'autres vulnérabilités de ce type par les chercheurs est à prévoir. Il y a deux mois, des analystes de sécurité ont découvert une autre faille dans le SDK Kalay. Cette dernière affecte les versions 3.1.5 et antérieures. En avril, les chercheurs ont découvert neuf vulnérabilités dans les piles TCP/IP de centaines de millions de dispositifs IoT.
- Partager l'article :