Le spécialiste de la cybersécurité Zimperium a découvert plusieurs failles au sein du système d'exploitation Amazon AWS FreeRTOS. Cette découverte prouve que des millions d'objets connectés pourraient être en danger.
Les spécialistes de la cybersécurité sont de plus en plus actifs en ce qui concerne l'IoT. Cette fois c'est le laboratoire Zimperium qui s'est penché sur le cas d'Amazon AWS FreeRTOS.
Cette version du système d'exploitation mise au point par Amazon est particulièrement appréciée des développeurs pour contrôler des objets connectés. Son fonctionnement en temps réel, sa faible consommation d'énergie et de mémoire vive en font un candidat parfait afin d'accomplir cette tâche. Par ailleurs, il est compatible avec un grand nombre d'architectures, notamment ARM, FreeScale et bien évidemment Intel X86.
AWS FreeRTOS : un OS performant, mais faillible
Seulement, voilà, sa conception en termes de cybersécurité semble loin d'être idéale. AWS FreeRTOS est constitué d'un kernel (noyau) FreeRTOS combiné avec la couche TCP/IP du système d'exploitation.
C'est justement cette deuxième partie de l'OS qui pose problème. Les chercheurs de Zimperium ont découvert de nombreuses failles au cœur de la gestion du TCP/IP, mais également au sein des modules de sécurisation de la connectivité. Le système de gestion d'intégrité licencié sous le nom de WITTENSTEIN (WHIS) n'est pas plus fiable. Ce dernier régit habituellement la sécurité des composants TCP/IP pour OpenRTOS et SafeRTOS.
Ces failles de sécurité ne sont pas sans conséquence. Selon Zimperium, elles permettent de faire crasher un objet connecté, d'y extraire des informations depuis la mémoire de l'appareil et d'y exécuter du code à distance, par exemple pour le compromettre.
Une douzaine de failles repérées par Zimperium
Heureusement, le laboratoire de recherche a rapidement signalé les failles à Amazon afin de les corriger en préparant des patchs. Selon ce dernier, toutes les failles ne seraient pas bouchées. Leur collaboration avec AWS continue en ce moment même.
AWS FreeRTOS comprenait une douzaine de vulnérabilités. Quatre d'entre elles concernent l'exécution de code à distance. Sept autres permettent de faciliter la fuite de données. Une autre permettrait de réaliser une attaque DDOS, tandis que certaines d'entre elles auraient d'autres effets catégorisés comme « autre » par Zimperium.
Amazon et WHIS ont d'ores et déjà déployé des mises à jour pour corriger les failles. Puisque qu'AWS FreeRTOS est un projet open source, Zimperium attendra un mois avant de publier les détails techniques. Il s'agit d'allonger le temps nécessaire à la sécurisation de l'OS pour les petits fournisseurs de l'OS .
Il est donc fortement conseillé de déployer les mises à jour sur les objets connectés et les cartes Raspberry Pi.
- Partager l'article :