Les décodeurs numériques DVB-T2 conçus par Thomson et Philips contiennent selon l’éditeur Avast des vulnérabilités qui permettent à des cybercriminels de stocker des logiciels malveillants pour lancer des attaques, par botnet ou ransomware, en utilisant un service de prévisions météo.
“Les vulnérabilités détectées mettent en lumière les négligences des fabricants en matière de sécurisation des appareils connectés », lâche l’éditeur dont une équipe de chercheurs a découvert d’importantes failles de sécurité dans deux des décodeurs numériques (STB) les plus courants du marché : Thomson THT741FTA et Philips DTR3502BFT. Ces boîtiers sont disponibles dans toute l’Europe et utilisés par de nombreux particuliers dont le téléviseur ne prend pas en charge le standard DVB-T2, soit le système de diffusion de signal numérique le plus récent pour la télévision terrestre (TNT) permettant d’accéder à un large éventail de services de télévision haute définition (HD).
Le port TelNet ouvert
Menée par Vladislav Iluishin, responsable d’équipe de l’IoT Lab, et Marko Zbirka, chercheur spécialisé dans les menaces concernant l’Internet des objets, cette enquête publiée sur Decoded, le blog d’Avast consacré à l’intelligence des menaces, montre qu’au moment de leur livraison, le port TelNet de ces deux décodeurs connectés à Internet est ouvert. Pour mémoire, ce protocole non chiffré qui date de plus de 50 ans est utilisé pour communiquer avec des appareils ou des serveurs distants. En raison de cette exposition, un cyberattaquant peut accéder à distance aux décodeurs et les ajouter à des réseaux de botnets, dans l’optique de lancer des attaques par déni de service distribué (DDoS) ou tout autre initiative malveillante. Les deux experts ont ainsi réussi à exécuter sur les deux appareils le code du botnet Mirai, un malware largement répandu.
Un noyau Linux qui n’est plus débuggé
Vladislav Iluishin et Marko Zbirka ont également mis en évidence une lacune liée à l’architecture des décodeurs. L’éditeur explique : “Ces deux produits s’appuient sur le noyau Linux 3.10.23, un programme à privilèges installé sur les boîtiers depuis 2016 et qui sert de passerelle entre les éléments matériel et logiciel en allouant à ce dernier les ressources nécessaires à son bon fonctionnement. Or la version 3.10.23 n’est plus prise en charge depuis novembre 2017, de sorte que les correctifs (bugs et vulnérabilités) ont été publiés pendant seulement un an, exposant les utilisateurs à des attaques potentielles depuis environ 3 ans. »
Et une connexion non sécurisée avec une application préinstallée de météo
Parmi les autres problèmes de sécurité qui affectent ces décodeurs, l’éditeur met en avant également une connexion non chiffrée avec une application préinstallée du service de prévisions météorologiques AccuWeather. Cette connexion non sécurisée entre les boîtiers et le service d’AccuWeather pourrait permettre à un acteur malveillant de modifier le contenu visualisé sur le téléviseur lorsque l’utilisateur consulte son application météo. Avast donne cet exemple : “Un intrus pourrait afficher une demande de rançon en affirmant à l’utilisateur que son téléviseur a été piraté avant d’exiger un paiement pour le libérer ».
Avast recommande de ne pas connecter le décodeur au réseau domestique si les fonctions Internet ne sont pas utilisées. L’éditeur suggère également aux utilisateurs plus avancés de se connecter à l’interface de leur routeur afin de vérifier dans les paramètres si la fonction « Universal Plug and Play » (UPnP) est activée. Si c’est le cas, il faut la désactiver. Avast propose également de vérifier la configuration du routage de port (port forwarding) et de désactiver cette fonction, sauf si elle est absolument indispensable.