Prague, République Tchèque / Redwood City, États-Unis, le 26 août 2020 — Une équipe de chercheurs de l’IoT Lab d’Avast (LSE : AVST) ont découvert d’importantes failles de sécurité dans deux des décodeurs numériques (STB) les plus courants du marché. Ces vulnérabilités peuvent permettre à des cybercriminels de stocker des logiciels malveillants dans ces boîtiers de décodage pour lancer des attaques, par botnet ou ransomware, en utilisant un service de prévisions météo. Les boîtiers concernés sont fabriqués par les deux grands noms de l’électronique grand public, THOMSON et Philips. Les boîtiers « THOMSON THT741FTA » et « Philips DTR3502BFTA » sont disponibles dans toute l’Europe et utilisés par de nombreux particuliers dont le téléviseur ne prend pas en charge le standard DVB-T2 ; soit le système de diffusion de signal numérique le plus récent pour la télévision terrestre (TNT) permettant d’accéder à un large éventail de services de télévision haute définition (HD).
Menée par Vladislav Iluishin, responsable d’équipe de l’IoT Lab, et Marko Zbirka, chercheur spécialisé dans les menaces concernant l’Internet des objets, cette enquête entamée en janvier 2020 s’inscrit dans le cadre d’une initiative entreprise par Avast pour explorer et tester le niveau de sécurité des appareils connectés à l’Internet des objets.
Dès le début de leurs travaux, Vladislav Iluishin et Marko Zbirka ont découvert qu’au moment de leur livraison, le port TelNet de ces deux décodeurs connectés à Internet est ouvert. Pour mémoire, ce protocole non chiffré qui date de plus de 50 ans est utilisé pour communiquer avec des appareils ou des serveurs distants. En raison de cette exposition, un cyberattaquant peut accéder à distance aux décodeurs et les ajouter à des réseaux de botnets, dans l’optique de lancer des attaques par déni de service distribué (DDoS) ou tout autre initiative malveillante. Les deux experts ont réussi à exécuter sur les deux appareils le code du botnet Mirai, un malware largement répandu.
Vladislav Iluishin et Marko Zbirka ont également mis en évidence une lacune liée à l’architecture des décodeurs : ces deux produits s’appuient sur le noyau Linux 3.10.23, un programme à privilèges installé sur les boîtiers depuis 2016 et qui sert de passerelle entre les éléments matériel et logiciel en allouant à ce dernier les ressources nécessaires à son bon fonctionnement. Or, la version 3.10.23 n’est plus prise en charge depuis novembre 2017, de sorte que les correctifs (bugs et vulnérabilités) ont été publiés pendant seulement un an, exposant les utilisateurs à des attaques potentielles depuis environ 3 ans.
Parmi les autres problèmes de sécurité qui affectent ces décodeurs, citons une connexion non chiffrée avec une application préinstallée du service de prévisions météorologiques AccuWeather. Cette découverte a eu lieu en analysant le trafic échangé entre les décodeurs et le routeur. La connexion non sécurisée entre les boîtiers et le service d’AccuWeather pourrait permettre à un acteur malveillant de modifier le contenu visualisé sur le téléviseur lorsque l’utilisateur consulte son application météo. Par exemple, un intrus pourrait afficher une demande de rançon en affirmant à l’utilisateur que son téléviseur a été piraté avant d’exiger un paiement pour le « libérer ».
« Les fabricants ne sont pas seulement responsables de veiller à la sûreté des produits qu’ils vendent : ils doivent également en assurer la sécurité et, par conséquent, celle de leurs utilisateurs, analyse Vladislav Iliouchine. Malheureusement, il est rare que les fabricants d’appareils connectés évaluent la manière dont la surface d’attaque de leurs produits peut être réduite. Dans la plupart des cas, ils se contentent du strict minimum, sans tenir compte des enjeux liés à l’IoT et à la sécurité des clients, afin de réduire leurs coûts et de commercialiser leurs produits plus rapidement. »
Une analyse complète de ces découvertes a été publiée sur Decoded, le blog d’Avast consacré à l’intelligence des menaces. Cet article propose également des conseils concernant les bonnes pratiques de sécurité à l’attention de fabricants de décodeurs et des consommateurs.
Les propriétaires de décodeurs DVB-T2 Philips ou Thomson sont invités à suivre les conseils suivants :
- Si les fonctions Internet ne sont pas utilisées, il est recommandé de ne pas connecter le décodeur au réseau domestique ;
- Renseignez-vous : achetez toujours des produits proposés par des marques établies, crédibles et réputées pour la prise en charge à long terme de leurs appareils et le respect de la sécurité ;
- Les utilisateurs plus avancés peuvent se connecter à l’interface de leur routeur afin de vérifier dans les paramètres si la fonction « Universal Plug and Play » (UPnP) est activée. Si c’est le cas, nous recommandons de la désactiver. Nous suggérons également de vérifier la configuration du routage de port (port forwarding) et de désactiver cette fonction, sauf si elle est absolument indispensable.
Dans le cadre de cette enquête, Avast a contacté Philips et THOMSON pour leur faire part de ces découvertes et des suggestions permettant d’améliorer la sécurité de leurs produits. Vous trouverez plus de détails, notamment des illustrations, des chronologies et une liste de vulnérabilités et expositions de cybersécurité (CVE — Cybersecurity Vulnerabilities and Exposures) ici.