D-Link attaqué aux États-Unis sur la sécurité de ses routeurs et caméras IP

L'Autorité américaine de la concurrence, la FTC, attaque D-Link sur plusieurs problèmes de sécurité dans des objets connectés, que la société n'aurait pas suffisamment surveillés. Une attitude qui n'est pas rare, des erreurs similaires ayant été régulièrement relevées ces derniers mois.

Alors que D-Link multiplie les annonces au CES de Las Vegas, l'Autorité américaine de la concurrence (FTC) attaque l'entreprise en justice, sur la sécurité de ses produits. La Federal Trade Commission a porté plainte contre le fabricant devant un tribunal californien, pour d'importantes erreurs de sécurité relevées sur certains de ses routeurs et caméras IP. Pour la FTC, D-Link n'a pas pris les mesures adéquates pour protéger ses équipements.

« Les pirates ciblent de plus en plus les routeurs et caméras IP, avec comme conséquence possible la compromission des appareils et l'exposition de données personnelles sensibles » affirme Jessica Rich, la directrice du bureau de protection des consommateurs de la commission. Le risque ? L'implantation de malwares et l'exploitation de vulnérabilités, parfois pendant de longues périodes. 

Des erreurs de conception basiques mais communes

Le reproche global est d'avoir laissé les appareils « vulnérables aux pirates et [de] mettre en danger la vie privée des consommateurs américains ». Cinq failles avaient notamment été découvertes en juillet dans des caméras IP de la marque.

Dans sa plainte, la FTC reproche quatre problèmes précis au constructeur. D'abord, les identifiants de certaines caméras IP étaient écrits dans leur code, « en plus d'autres portes dérobées » ; un comportement malheureusement commun. En parallèle, des routeurs D-Link étaient vulnérables à des injections de commandes à partir d'Internet, selon la commission. Plus grave encore, une clé privée servant à s'identifier dans des logiciels D-Link a été « mal gérée », un euphémisme pour « placée sur un site web public pendant six mois ». Enfin, les identifiants étaient stockés en clair dans l'application mobile.

Concrètement, la commission affirme que des pirates pouvaient compromettre le routeur, obtenir les données d'un disque dur connecté, attaquer les terminaux sur le réseau local, voire les rediriger vers un site malveillant. Du côté des caméras, c'est bien entendu l'espionnage discret du propriétaire qui soucie le plus le gendarme américain.

La sécurité des objets connectés, de plus en plus sensible

Ce n'est pas la première société à être attaquée par la FTC sur le sujet. Comme le rappelle la commission, elle a déjà attaqué ASUS et TRENDnet, l'un pour des routeurs et services cloud, l'autre pour des caméras IP. On ne change pas une équipe qui gagne.

Ces derniers mois, ces objets ont d'ailleurs été très remarqués, avec l'émergence de botnets s'appuyant fortement sur les caméras IP. C'est le cas de Mirai, qui a causé la chute du fournisseur de services DNS Dyn pendant plusieurs heures (voir notre analyse), mis hors service 900 000 routeurs en Allemagne et des dizaines de milliers d'autres au Royaume-Uni. Une marque chinoise de caméras IP a d'ailleurs battu le rappel de certains de ses modèles, sur lesquels les identifiants étaient inscrits en dur.

La sécurité doit donc devenir un axe important du développement de l'Internet des objets. Une vision poussée aujourd'hui par des experts, qui doit encore trouver un écho chez l'ensemble des constructeurs, notamment ceux investissant peu dans leurs logiciels. Des actions comme celle de la FTC contre D-Link devraient donc contribuer à amplifier le mouvement, en plus de l'engagement d'organismes comme la fondation Mozilla sur le sujet.