IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un lanceur d'alerte affirme que la violation des données d'Ubiquiti a été "catastrophique",
Exposant d'innombrables appareils basés sur le Cloud à un risque de prise de contrôle

Le , par Stan Adkens

0PARTAGES

6  0 
Ubiquiti, l'un des principaux fournisseurs de dispositifs d'Internet des objets (IdO) basés sur le cloud, a dissimulé la gravité d'une violation de données qui expose le matériel de ses clients à un risque d'accès non autorisé. C’est ce qu’a confié au journaliste d'investigation Brian Krebs un lanceur d'alerte anonyme au sein de l'entreprise. Le professionnel de la sécurité, qui est impliqué dans la réponse à la violation de données, a affirmé que l'incident a été minimisé et pourrait être décrit comme « catastrophique ». Mais dans une récente déclaration, Ubiquiti déclare que ses experts n'ont identifié « aucune preuve que les informations des clients ont été consultées, ou même ciblées ».

Le 11 janvier, Ubiquiti, qui fabrique des routeurs, des caméras connectées à Internet et d'autres appareils en réseau, a révélé dans un e-mail envoyé aux clients qu’un intrus avait eu « un accès non autorisé à certains de nos systèmes informatiques hébergés par un fournisseur de cloud tiers », dans lesquels étaient stockées des informations de compte pour le portail Web ui.com, un service de gestion des appareils destiné aux clients.


L'avis, qui n’a pas nommé le fournisseur, indiquait que, bien qu'il n'y ait aucune preuve que les intrus aient pu accéder aux données des utilisateurs, la société ne peut exclure la possibilité qu'ils aient obtenu les noms, adresses électroniques, mots de passe hachés de façon cryptographique, adresses et numéros de téléphone des utilisateurs. Ubiquiti a recommandé par la suite aux utilisateurs de changer leurs mots de passe et d'activer l'authentification à deux facteurs.

« Nous n'avons actuellement pas connaissance de preuves d'accès à des bases de données hébergeant des données utilisateur, mais nous ne pouvons pas être certains que les données utilisateur n'ont pas été exposées », a écrit la société dans l’avis aux clients. Cependant des mois plus tard, un professionnel de la sécurité qui a participé à la réponse à la violation de sécurité a déclaré à Brian Krebs que l'incident était bien pire que ce qu'Ubiquiti laissait entendre et que les dirigeants minimisaient la gravité pour protéger le cours de l'action de l'entreprise.

« C'était catastrophiquement pire que ce qui a été rapporté, et le service juridique a réduit au silence et annulé les efforts pour protéger les clients de manière décisive », a écrit le dénonciateur dans une lettre aux autorités européennes de la protection des données. « La violation était massive, les données des clients étaient en danger, l'accès aux appareils des clients déployés dans les entreprises et les foyers du monde entier était en danger ». KrebsOnSecurity rapporte également que la source a d’abord fait part de ses inquiétudes à la ligne téléphonique d'alerte d'Ubiquiti. S'adressant à KrebsOnSecurity, la source a affirmé que l'explication liée au fournisseur de cloud tiers était une « fabrication ».

Accès à des données beaucoup plus étendues et sensibles

Selon le dénonciateur que le rapport de KrebsOnSecurity a nommé fictivement Adam, les données auxquelles les attaquants ont accédé étaient beaucoup plus étendues et sensibles que ce qu'Ubiquiti a décrit dans son avis. En réalité, selon la source, les attaquants avaient obtenu un accès administratif aux serveurs d'Ubiquiti sur le service cloud d'Amazon, qui sécurise le matériel et le logiciel sous-jacent du serveur mais exige du locataire du cloud (le client) qu'il sécurise l'accès à toutes les données qui y sont stockées.

« Ils ont pu obtenir des secrets cryptographiques pour les cookies d'authentification unique et l'accès à distance, le contenu complet du contrôle du code source et l'exfiltration des clés de signature », a déclaré Adam.

Il a dit que les intrus avaient accès à des informations d'identification privilégiées qui étaient précédemment stockées dans le compte LastPass d'un employé informatique d'Ubiquiti, et ont obtenu un accès root à tous les comptes AWS d'Ubiquiti, y compris les stockages de données Amazon S3, tous les journaux d'applications, toutes les bases de données, toutes les informations d'identification des bases de données des utilisateurs, et les secrets nécessaires pour falsifier des cookies d'authentification unique (SSO).

La source a également déclaré à Krebs qu'à la fin du mois de décembre, le personnel informatique d'Ubiquiti a découvert une porte dérobée installée par les acteurs de la menace, qui a été supprimée par la société au cours de la première semaine de janvier. Une deuxième porte dérobée aurait également été découverte, ce qui a conduit au changement des informations d'identification des employés avant que le public ne soit informé de la violation.

Un tel accès aurait pu permettre aux intrus de s'authentifier à distance sur d'innombrables appareils Ubiquiti basés sur le cloud dans le monde entier. Selon le site Web de la société, Ubiquiti a expédié plus de 85 millions de dispositifs qui jouent un rôle clé dans les infrastructures de réseau dans plus de 200 pays et territoires dans le monde. Les cyberattaquants ont contacté Ubiquiti et ont tenté d'extorquer 50 bitcoins, soit environ 3 millions de dollars, en échange de leur silence sur la violation. Cependant, Ubiquiti n'a pas engagé le dialogue avec les pirates, selon Adam.


Cette violation intervient alors qu'Ubiquiti encourage, voire exige, l'utilisation de comptes en ligne pour que les utilisateurs puissent configurer et administrer des appareils fonctionnant avec des versions de firmware plus récentes. Selon un article d’aide du vendeur d’appareils IdO, lors de la configuration initiale d'une machine UniFi Dream (un routeur et un appareil de passerelle domestique populaire), les utilisateurs seront invités à se connecter à leur compte basé sur le cloud ou, s'ils n'en ont pas déjà un, à créer un compte.

« Vous utiliserez ce nom d'utilisateur et ce mot de passe pour vous connecter localement au contrôleur réseau UniFi hébergé sur UDM, à l'interface utilisateur des paramètres de gestion d’UDM, ou via le portail réseau UniFi (https://network.unifi.ui.com) pour l'accès à distance », explique l'article. Suite à la divulgation de la violation, les clients d'Ubiquiti se plaignaient de cette exigence et du risque qu'elle représente pour la sécurité de leurs appareils dans un fil de discussion sur la page Ubiquiti Community.

« J'aimerais aussi voir un accès local uniquement », a déclaré un client sur le forum il y a trois mois. Un autre a écrit : « Je suis d'accord. Le fait que, par exemple, l'application Protect nécessite une connexion au "cloud" pour se connecter à mon appareil local sur mon propre réseau afin de visualiser les données que je stocke ici spécifiquement pour les avoir à ma disposition localement n'est pas quelque chose qui m'a même traversé l'esprit comme une possibilité lorsque je l'ai acheté ».

Ubiquiti maintient sa position : aucune preuve de l'accès aux informations des clients

Dans une déclaration publiée mercredi pour répondre au rapport de Krebs, Ubiquiti a déclaré que « rien n'a changé en ce qui concerne notre analyse des données des clients et la sécurité de nos produits depuis notre notification du 11 janvier ». Les experts de la société n'ont identifié « aucune preuve que les informations des clients ont été consultées, ou même ciblées ». Sur ce point, cependant, le dénonciateur a dit qu’Ubiquiti n'a jamais enregistré qui a eu accès à ces fichiers ou quand, et donc il peut dire qu'il n'y a pas de preuve parce qu'il n'y a pas de journaux d'accès à rechercher. Voici, ci-dessous, un extrait de la déclaration :

L'attaquant, qui a tenté en vain d'extorquer l'entreprise en menaçant de divulguer le code source volé et des informations d'identification informatiques spécifiques, n'a jamais prétendu avoir accédé à des informations clients. Ces éléments, ainsi que d'autres preuves, nous amènent à penser que les données des clients n'ont pas été la cible de l'incident ou n'ont pas été consultées dans le cadre de celui-ci.

À ce stade, nous avons des preuves bien développées que l'auteur de l'attaque est un individu ayant une connaissance approfondie de notre infrastructure cloud. Comme nous coopérons avec les forces de l'ordre dans le cadre d'une enquête en cours, nous ne pouvons pas faire de commentaires supplémentaires.

Tout ceci étant dit, par précaution, nous vous encourageons toujours à changer votre mot de passe si vous ne l'avez pas encore fait, y compris sur tout site Web où vous utilisez le même identifiant ou mot de passe. Nous vous encourageons également à activer l'authentification à deux facteurs sur vos comptes Ubiquiti si vous ne l'avez pas déjà fait.

Au minimum, les personnes utilisant des appareils Ubiquiti devraient changer leurs mots de passe et activer l'authentification à deux facteurs si elles ne l'ont pas déjà fait. Étant donné la possibilité que des intrus dans le réseau d'Ubiquiti aient obtenu les secrets des cookies d'authentification unique pour l'accès à distance et les clés de signature, c'est aussi une bonne idée de supprimer tous les profils associés à un appareil, de s'assurer que l'appareil utilise le dernier firmware, puis de recréer des profils avec de nouvelles informations d'identification. Comme toujours, l'accès à distance doit être désactivé, sauf s'il est vraiment nécessaire et s'il est activé par un utilisateur expérimenté.

Sources : KrebsOnSecurity, Ubiquiti

Et vous ?

Que pensez-vous de l'alerte du professionnel de sécurité chez Ubiquiti ?
Quels commentaires faites-vous de la réponse d’Ubiquiti, qui maintient qu’aucune preuve de l'accès aux informations des clients n’existe ?
Avez-vous un appareil du fabricant ? Allez-vous continuer à lui faire confiance après toutes ces prétendues données volées ?

Voir aussi :

Des possesseurs d'aspirateurs et de sonnettes dits « intelligents » se retrouvent dans l'incapacité d'en faire usage les serveurs d'Amazon étant en panne : l'IoT est-il plus dangereux qu'utile ?
Cybersécurité : le manque de moyens humains et d'expertise empêchent les organismes financiers de protéger les données dans le cloud, selon une nouvelle étude de Netwrix
Les États-Unis exhortent les utilisateurs de Linux à sécuriser les noyaux contre une nouvelle menace de malware russe, qui crée une porte dérobée et permet l'exécution de commandes en tant que root
Des hackers s'introduisent dans des milliers de caméras de sécurité de Verkada, exposant Tesla, prison, etc., via un accès "Super Admin" dont les identifiants étaient exposés au public sur Internet

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 01/04/2021 à 14:08
Citation Envoyé par Stan Adkens Voir le message
Quels commentaires faites-vous de la réponse d’Ubiquiti, qui maintient qu’aucune preuve de l'accès aux informations des clients n’existe ?
Ils défendent leur bout de pain. Ils ont déjà des gens qui remettent en cause cette histoire d'avoir obligatoirement les UniFi Controller connectés au cloud: okay, ça permet de contrôler tous ses équipements au même endroit (confortable) mais côté sécurité, c'est d'une stupidité sans nom.

Le fait de minimiser ainsi une attaque avec autant de conséquences est grave, et n'est pas professionnel du tout.

Citation Envoyé par Stan Adkens Voir le message
Avez-vous un appareil du fabricant ? Allez-vous continuer à lui faire confiance après toutes ces prétendues données volées ?
Non, car je voyais le truc arriver (en même temps, pas besoin d'être devin), mais j'ai des collègues qui ne jurent que par ça...

Pour ma part, la réponse de Ubiquiti montre qu'on ne peut pas leur faire confiance. Je préfère voir des sociétés/organisations/projets dire "les gars, on a un problème très grave. Voici les mesures à appliquer de toute urgence", même en appliquant un simple principe de précaution, plutôt que "circulez, il n'y a rien à voir".

PS: le lien vers le site de Krebs a l'air d'avoir sauté. Voici l'article original, pour ceux qui parelent anglais: https://krebsonsecurity.com/2021/03/...-catastrophic/
Il est un peu plus complet que le blog d'Ubiquiti
3  0