Comme nous l’avons récemment annoncé, de nombreux routeurs dotés de fonctions UPnP défectueuses sont en circulation dans le monde entier, ce qui permet aux pirates d’accéder au réseau local depuis l’extérieur. Heise a publié un contrôle de réseau en ligne qui détecte les services UPnP ouverts.

Si vous souhaitez vérifier si un appareil est accessible via UPnP sous votre propre IP Internet, vous pouvez utiliser la nouvelle option UPnP du Netzwerkcheck de Heise, que heise Security propose en collaboration avec le délégué à la protection des données du Land de Basse-Saxe. Le scanner envoie alors une demande dite de découverte au port UDP 1900 de l’adresse IP avec laquelle la page est visitée. Lorsque l’outil reçoit une réponse, il affiche le contenu du paquet reçu. Toutefois, le service ne fonctionne actuellement qu’avec IPv4. Si la vérification du réseau affiche l’avertissement rouge « Service UPnP ouvert trouvé », il est possible d’essayer de bloquer manuellement le service vers l’extérieur via le pare-feu ou de désactiver complètement UPnP sur le routeur et les appareils.

Vers le contrôle de réseau de heise Security

Arrière-plan :

Le Computer Emergency Response Team (CERT) – comparable à l’Office fédéral allemand de la sécurité des technologies de l’information (BSI) – a annoncé dans une alerte de sécurité qu’une grande partie des routeurs utilisés dans le secteur domestique sont vulnérables aux attaques extérieures. La faute à une fonction Universal Plug and Play défectueuse.

Dans leur communiqué du 29.01.2013, les spécialistes écrivent qu’une erreur se trouve dans la bibliothèque « libupnp », développée par Intel en 2001. Cette bibliothèque est responsable de plusieurs fonctions de Universal Plug and Play (UPnP). Cette erreur peut entraîner un dépassement de la mémoire tampon, ce qui permet à un attaquant d’accéder au réseau interne depuis l’extérieur, car les appareils concernés réagissent également à UPnP depuis le réseau externe (Internet).

CERT ne précise pas (encore) quels routeurs de quels fabricants sont concernés, mais cite des entreprises comme Huawei, Belkin, Cisco, Linksys, D-Link ou Siemens.

En Allemagne, ce sont surtout les appareils d’AVM et de Telekom qui sont très répandus et heureusement, les deux donnent le feu vert au magazine en ligne Golem. Dans une news du 30 janvier 2013, on peut y lire que les routeurs Speedport et les modèles d’AVM ne réagissent pas aux attaques UPnP venant de l’extérieur et qu’AVM n’utilise pas la bibliothèque concernée. De plus, le pare-feu des appareils AVM serait déjà configuré et implémenté de manière à ce qu’UPnP ne soit pas accessible de l’extérieur.

Outre de nombreux types de routeurs, d’autres appareils UPnP tels que les SmartTV sont également concernés, dans la mesure où ils utilisent la bibliothèque défectueuse.

Le Cert recommande donc de désactiver complètement la fonction UPnP sur le routeur. Cela pose toutefois un problème pour certains domaines d’application, comme par exemple les consoles de jeux. Pour le chat vocal dans le Playstation Network, l’utilisateur doit alors libérer manuellement des ports et les rediriger vers la console.

Universal Plug and Play est utilisé dans les réseaux domestiques et permet aux appareils d’ouvrir par exemple des ports sur le routeur à leurs fins. Outre les consoles de jeu et les systèmes NAS, d’autres appareils multimédias UPnP et même Windows lui-même en font usage. Plus d’informations sur UPnP sur Wikipedia https://de.wikipedia.org/wiki/Upnp