|
Accueil > Actualités > D-Link s'exprime sur la faille UPnP de certains routeurs D-Link s'exprime sur la faille UPnP de certains routeurs
Il y a quelques jours, plusieurs sites Internet relayaient l'information comme quoi certains routeurs de marque D-Link sont touchés par une faille de sécurité au niveau de la gestion du protocole Universal Plug and Play (UPnP). Certains de ces sites ont même qualifié cette faille de sécurité comme étant extrêmement critique puisqu'elle permettrait à un pirate d'accéder au réseau local et donc aux ordinateurs qui le composent.
Pour en savoir un peu plus sur cette faille de sécurité, nous avons pris contact avec D-Link France qui nous a aussitôt répondu par la voie de Thierry Doualan, directeur des services et chef de produits chez D-Link France. D'après les informations fournies par D-Link, il semblerait que l'importance de cette faille de sécurité soit tout de même bien moindre que ce l'on croyait. En effet, tout d'abord seulement un petit nombre de routeurs sont touchés par cette faille dont seulement deux sont commercialisés en Europe et en France à savoir les modèles DI-624 (révisions matérielles Cx et D2) et DI-784 (révision matérielle Ax). De plus, le protocole UPnP ne pouvant être utilisé qu'en local, il n'est par définition pas possible d'exploiter cette faille de sécurité par Internet (port WAN du routeur). Un éventuel pirate doit donc se connecter physiquement au réseau local pour exploiter cette faille UPnP (port LAN du routeur) ou s'y connecter sans fil par Wi-Fi mais il faut dans ce cas que le réseau ne soit pas protégé par un procédé d'authentification et de cryptage (WEP, WPA...). D-Link précise également que cette faille de sécurité ne permettrait au pirate que de provoquer un redémarrage du routeur suite à l'envoi de paquets UPnP corrompus. Il n'est donc pas question de pouvoir modifier la configuration du routeur ou quelque chose d'autre de ce type mais il s'agit bel et bien d'une "simple" attaque de type DoS (Denial of Service). Enfin, contrairement à ce qui a pû être dit, il y a bien des solutions pour corriger cette faille de sécurité et les routeurs incriminés ne sont pas encore bons à jeter aux orties. En effet, la simple désactivation du protocole UPnP dans la configuration du routeur permet de se protéger de cette faille de sécurité et il faut bien avouer que peu de personnes se servent réellement de ce protocole. Pour information le protocole UPnP utilise plusieurs technologies comme XML et HTTP et permet à des périphériques compatibles de communiquer entre eux ou encore de recevoir automatiquement leurs différents paramètres sans que l'utilisateur ait à intervenir. Certains lecteurs multimédia de salon et téléviseurs supportent notamment le protocole UPnP pour faciliter leur connexion au sein d'un réseau local. Bien sûr, la désactivation pure et simple de cette fonctionnalité ne conviendra pas à tout le monde et en particulier aux personnes utilisant ce protocole UPnP. C'est pourquoi, D-Link nous informe que tous les routeurs touchés par cette faille de sécurité bénéficieront d'une mise à jour gratuite de leur firmware et cela avant la fin du mois de juillet. Tous les firmwares seraient d'ailleurs déjà prêts mais seraient actuellement encore en phase de test pour certains alors que trois d'entre eux ont déjà été publiés ces derniers jours. Ci-dessous un tableau qui regroupe des informations sur tous les routeurs concernés et sur leur mise à jour à venir.
Mise à jour : Tous les firmwares corrigés des produits ci-dessus ont été publiés par D-Link. Le tableau a été mis à jour en conséquence.
Actualité publiée par Julien Sambourg le lundi 10 juillet 2006 à 11:18
Il y a 1 commentaire sur cette actualité Marque associée : D-Link Catégories associées : Routeur Modem Flux RSS des actualités TousLesDrivers.com |
|||||||||||||||||||||||||||||||||