[LOGICIEL] Plus de deux millions de produit IoT menacés dans le logiciel d’iLinkP2P

          Le Logiciel embarqué iLinkP2P qui permet de se connecter plus rapidement à des objets connectés basé sur le Peer to peer est touché par un faille qui menace plus de deux millions de produits IoT et des données consommateurs. Développé par la société chinoise Yunni Technology, iLinkP2P est un logiciel embarqué dans de nombreux objets connectés, des caméras de sécurité, des systèmes IoT et d’autres produits qui concernent la domotique. En définitive, ce sont plus de deux millions d’objets qui utilisent ce logiciel. Ce dernier repose sur la technologie Peer to peer et selon le chercheur en cybersécurité Paul Marrapese associé au blogueur spécialisé Brian Krebs, il comporte de nombreuses failles. Ce logiciel a fait ses preuves de par sa praticité. Au lieu d’ouvrir les ports de son routeur et de son pare-feu, « il suffit de scanner un QR ou de taper un code à six chiffres pour connecter ces objets ». Cependant, le chercheur a découvert 6 millions de combinaisons potentielles de ce code, dont 2 millions qui concernent actuellement les produits en circulation. Les failles sont difficilement corrigeables car quand les utilisateurs s’identifient avec leur smartphone, le logiciel envoie des messages réguliers pour faciliter la connexion avec les appareils. Les pirates peuvent connaitre leur mot de passe si les utilisateurs changent les informations d’identifications par défaut en « reroutant » la connexion vers un serveur Peer to peer. De plus, si le pirate se renseigne sur l’UID, il peut émettre le même type de message pour en prendre le contrôle. Selon le même chercheur, une solution consiste à bloquer le port 32100 UDP du pare-feu de routeur.