Une petite bibliothèque logicielle publiée depuis 1997 et utilisée dans un très grand nombre d’objets connectés fourmille d’erreurs. Ces vulnérabilités, 19 au total, ont été réunies sous le nom de Ripple20. Quatre d’entre elles peuvent être exploitées pour prendre le contrôle d’un appareil.

Des centaines de millions d’objets connectés concernés

L’entreprise en cybersécurité israélienne JSOF qui a découvert les vulnérabilités les a appelées Ripple20, car elles toucheront par ondes les objets connectés de 2020. La liste des appareils touchés semble être sans fin, des imprimantes connectées, du matériel médical, des appareils de contrôles industriels, des systèmes de transport, des appareils domestiques, des routeurs… Ripple20 laisse des traces chez HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter…

Les 19 erreurs sont contenues dans une petite bibliothèque logicielle développée par une entreprise américaine, Treck, en 1997. Elle sert à mettre en réseau un objet. Ce morceau de code a été très largement utilisé depuis ses deux décennies d’existences. Découvrir l’ensemble des objets touchés s’avère extrêmement complexe, certaines entreprises pourraient même ignorer être concernées par Ripple20, car la bibliothèque logicielle a été intégrée dans d’autres logiciels.

Shlomi Oberman PDG de JSOF a expliqué que « Peu de gens ont entendu parler de cette entreprise, mais elle est un des principaux fournisseurs de piles TCP-IP, donc elle se trouve au début d’une chaîne d’approvisionnement vraiment complexe ». Pour lui c’est clair, « Les vulnérabilités de la pile ont été amplifiées par l’effet d’entraînement de la chaîne d’approvisionnement, de sorte qu’elles existent dans pratiquement tous les types de dispositifs connectés auxquels on peut penser ».

Les chercheurs de JSOF travaillent depuis septembre 2019 sur la bibliothèque de Treck. Parmi les erreurs repérées, quatre peuvent être exploitées pour espionner, contrôler, paralyser un objet à distance. Le département américain de la sécurité intérieure leur aurait attribué des notes de 9,8 à 10 sur une échelle de 1 à 10 en termes de gravité de vulnérabilité.

Les bugs de Ripple20 ont été corrigés

Les autorités, les entreprises potentiellement victimes ont été prévenues avant que l’information ne soit rendue publique. Treck l’a été également et a résolu Ripple20 23 ans après, c’était arrivé à WinRAR qui avait corrigé une faille 19 ans après.

Treck a expliqué avoir « corrigé tous les problèmes signalés et les a mis à la disposition de nos clients, soit par le biais de notre dernière version de code, soit par des correctifs ». Le plus gros problème est de s’assurer que toute entreprise concernée applique ce correctif. Au-delà du frein que constitue la difficulté technique de la correction de certains objets, sera important d’identifier qui est concerné. Les ondes de Ripple20 pourraient bien continuer à faire des dégâts, 2020 passé.