Une base de données non protégée expose des milliards de mots de passe Wi-Fi et des adresses IP !
Une base de données non protégée contenant près de 2,7 milliards d'enregistrements a été découverte par un chercheur en sécurité. Elle contient des informations sensibles, telles que des mots de passes, des adresses IP et des mots de passe Wi-Fi. Faisons le point.
Une base de données de 1,17 To avec des informations sensibles
La base de données exposée, d'une taille de 1,17 To, contient très exactement 2 734 819 501 enregistrements, soit plus de 2,7 milliards. Ces derniers correspondent à des identifiants de réseau Wi-Fi (SSID), aux mots de passe pour accéder à ces réseaux, des adresses IP, des numéros d'identification d'appareils et des références aux systèmes d'exploitation des smartphones contrôlant ces objets connectés.
"Dans un échantillon limité des documents exposés, j'ai vu 13 dossiers avec plus de 100 millions d'enregistrements contenant le SSID (service set identifier), plus communément connu comme le nom de votre réseau Wi-Fi.", précise le chercheur en sécurité Jeremiah Fowler.
Selon les analyses, ces données appartiennent à LG-LED SOLUTIONS LIMITED, une entreprise enregistrée en Californie et liées à deux autres marques : Mars Hydro, enregistrée en Chine, et Spider Farmer. Ces marques distribuent des appareils IoT pour le domaine de la culture en intérieur, notamment des lampes LED, des systèmes de ventilation et de refroidissement.
Cette entreprise semble distribuer ses produits à l'internationale puisqu'elle dispose d'entrepôts au Royaume-Uni, aux États-Unis et en Australie. D'ailleurs, l'application Mars Pro, impliquée dans cette histoire, est disponible en plusieurs langues : "L'application Mars Pro est disponible pour les appareils iOS et Android et proposée en anglais, français, allemand et chinois.", peut-on lire dans le rapport publié sur le site de VpnMentor. Le chercheur a également eu la confirmation qu'il s'agissait de l'application officielle.
D'après le Play Store, cette application ne collecte pas d'informations sur le smartphone de l'utilisateur. Ce seraient donc les objets connectés en eux-mêmes qui communiquent avec les serveurs de l'entreprise et transmettent ces données sensibles. À partir du moment où ils sont connectés au réseau local, en Wi-Fi, ils ont effectivement accès aux informations pour accéder à ce réseau.
L'IoT, un secteur à risque
Cette affaire met une nouvelle fois en lumière les vulnérabilités présentes dans le secteur de l'IoT. D'après un rapport de Palo Alto Networks, 57% des appareils connectés sont jugés « très vulnérables » et 98% des données qu'ils transmettent ne sont pas chiffrées. De plus, 83% de ces appareils fonctionnent avec des systèmes d'exploitation obsolètes, facilitant les attaques exploitant des failles de sécurité connues.
Parmi les principales menaces figurent les attaques de type "nearest neighbor", déjà utilisées par des pirates pour infiltrer des réseaux. L'exploitation des données contenues dans cette base de données pourrait permettre des attaques similaires. Cela signifie qu'un pirate étant en mesure de se connecter à un réseau Wi-Fi pourrait ensuite intercepter des communications, récupérer d'autres identifiants ou même tenter d'infecter les appareils connectés à ce même réseau.
Enfin, il est à noter que dès la découverte de cette base de données non protégée, LG-LED SOLUTIONS et Mars Hydro ont été alertés par le chercheur en sécurité. La réaction a été rapide, puisque quelques heures plus tard, l'accès public à la base de données a été retiré. Espérons que ces données ne soient pas déjà tombées entre de mauvaises mains... Mais, aussi, que cela encouragent les entreprises à davantage protéger leurs bases de données et leurs services.
