Le logiciel embarqué iLnkP2P sert habituellement aux utilisateurs à se connecter plus rapidement à leurs objets connectés. Une faille de cette technologie basée sur le Peer to peer menace des millions de produits et les données des consommateurs.
Yunni Technology est une société chinoise basée à Shenzhen. Elle développe iLnkP2P, un logiciel embarqué dans de nombreux objets connectés, des caméras de sécurités, des systèmes IoT, des moniteurs pour bébé et d'autres produits grand public. Plus de 2 millions de produits l'utilisent.
Le système Peer to peer iLnKP2P pris en défaut
Ce logiciel repose sur la technologie Peer to peer. Or selon le chercheur en cybersécurité Paul Marrapese associé au blogueur spécialisé Brian Krebs, il comporte de nombreuses failles. Les hackeurs pourraient accéder aux identifiants des consommateurs, les écouter et les voir à distance.
LnkP2P s'avère très pratique. Au lieu d'ouvrir les ports de son routeur et de son pare-feu, il suffit de scanner un QR ou de taper un code à six chiffres pour connecter ces objets. Paul Marrapese a découvert 6 millions de variantes potentielles de ce code, dont 2 millions actuellement utilisés avec les produits en circulation.
Des failles difficilement corrigeables
Quand ceux-ci s'identifient avec leur smartphone, le logiciel envoie des messages réguliers pour faciliter la connexion avec les appareils. Si ces derniers ont changé les informations d'identifications par défaut, alors les hackers peuvent savoir leur mot de passe. Ils reroutent la connexion vers un serveur Peer to peer.
Ainsi, en se renseignant sur l'UID de l'objet, il peut émettre le même type de message afin d'en prendre le contrôle. Selon le chercheur en cybersécurité, la fonctionnalité ne peut être désactivée. De même, il doute que les utilisateurs mettent à jour leurs biens en cas de parution d'un correctif de sécurité. Une solution consiste à bloquer le port 32100 UDP du pare-feu de routeur.
Paul Marrapese a prévenu les différents fabricants concernés et le CERT (Computer Emergency Response Team) chinois. Ces messages sont restés sans réponse pour l'instant. Seul le logiciel de Yunni Technology est touché. Les autres services Peer to peer ne sont pas affectés.
- Partager l'article :
