Le fabricant de périphériques réseau Ubiquiti a dissimulé la gravité d’une violation de données qui expose le matériel de ses clients à un risque d’accès non autorisé, rapporte KrebsOnSecurity, citant un dénonciateur anonyme au sein de l’entreprise.
En janvier, le fabricant de routeurs, de caméras connectées à Internet et d’autres appareils en réseau a révélé ce qu’il a appelé « un accès non autorisé à certains de nos systèmes informatiques hébergés par un fournisseur de cloud tiers ».
L’avis indique que, bien qu’il n’y ait aucune preuve que les intrus aient accédé aux données des utilisateurs, la société ne peut exclure la possibilité qu’ils aient obtenu les noms, adresses électroniques, mots de passe cryptographiés, adresses et numéros de téléphone des utilisateurs. Ubiquiti a recommandé aux utilisateurs de changer leurs mots de passe et d’activer l’authentification à deux facteurs.
Mots de passe des appareils stockés dans le nuage
Le rapport de mardi de KrebsOnSecurity a cité un professionnel de la sécurité chez Ubiquiti qui a aidé l’entreprise à répondre à la violation de deux mois à partir de décembre 2020.
La personne a déclaré que la violation était bien pire que ce qu’Ubiquiti laissait entendre et que les dirigeants minimisaient la gravité pour protéger le cours de l’action de l’entreprise.
Cette violation intervient alors qu’Ubiquiti encourage, voire exige, l’utilisation de comptes en ligne pour que les utilisateurs puissent configurer et administrer les appareils fonctionnant avec des versions de micrologiciels plus récentes.
Selon un article publié ici, lors de la configuration initiale d’une machine UniFi Dream (un routeur et un appareil de passerelle domestique populaire), les utilisateurs seront invités à se connecter à leur compte basé sur le cloud ou, s’ils n’en ont pas déjà un, à créer un compte.
« Vous utiliserez ce nom d’utilisateur et ce mot de passe pour vous connecter localement au contrôleur réseau UniFi hébergé sur l’UDM, à l’interface utilisateur des paramètres de gestion de l’UDM, ou via le portail réseau UniFi (https://network.unifi.ui.com) pour l’accès à distance », explique encore l’article.
Les clients d’Ubiquiti se plaignent de cette exigence et du risque qu’elle représente pour la sécurité de leurs appareils dans ce fil de discussion qui a suivi la divulgation de janvier.
Falsification des cookies d’authentification
Selon Adam, le nom fictif que Brian Krebs de KrebsOnSecurity a donné au dénonciateur, les données auxquelles il a été accédé étaient beaucoup plus étendues et sensibles que ce qu’Ubiquiti a décrit.
Lee Hutchinson, rédacteur principal en technologie d’Ars, a examiné la gamme d’appareils sans fil UniFi d’Ubiquiti en 2015, puis à nouveau trois ans plus tard.
Dans une déclaration publiée après la mise en ligne de ce post, Ubiquiti a déclaré que « rien n’a changé en ce qui concerne notre analyse des données des clients et la sécurité de nos produits depuis notre notification du 11 janvier. »
Au minimum, les personnes utilisant des appareils Ubiquiti devraient changer leurs mots de passe et activer l’authentification à deux facteurs si ce n’est pas déjà fait.
Étant donné la possibilité que des intrus dans le réseau d’Ubiquiti aient obtenu les secrets des cookies d’authentification unique pour l’accès à distance et les clés de signature, c’est aussi une bonne idée de supprimer tous les profils associés à un appareil, de s’assurer que l’appareil utilise le dernier firmware, puis de recréer des profils avec de nouvelles informations d’identification.
Comme toujours, l’accès à distance doit être désactivé, sauf s’il est vraiment nécessaire et s’il est activé par un utilisateur expérimenté.