UPnP signifie «Universal Plug and Play». Avec UPnP, une application peut automatiquement transférer un port sur votre routeur, ce qui vous évite d'avoir à trancher manuellement le transfert des ports. Nous examinerons les raisons pour lesquelles les utilisateurs recommandent de désactiver UPnP afin de pouvoir obtenir une image claire des risques pour la sécurité.
Crédit d'image: comedy_nose sur Flickr
Les logiciels malveillants sur votre réseau peuvent utiliser UPnP
Un virus, un cheval de Troie, un ver ou un autre programme malveillant qui parvient à infecter un ordinateur de votre réseau local peut utiliser UPnP, tout comme les programmes légitimes. Alors qu’un routeur bloque normalement les connexions entrantes, empêchant ainsi certains accès malveillants, le protocole UPnP pourrait permettre à un programme malveillant de contourner complètement le pare-feu. Par exemple, un cheval de Troie peut installer un programme de contrôle à distance sur votre ordinateur et y ouvrir un trou dans le pare-feu de votre routeur, permettant ainsi un accès 24/7 à votre ordinateur depuis Internet. Si UPnP était désactivé, le programme ne pourrait pas ouvrir le port - bien qu’il puisse contourner le pare-feu par d’autres moyens et téléphoner à la maison.
Est-ce un problème? Oui. UPnP suppose que les programmes locaux sont dignes de confiance et leur permet de transférer des ports. Si les logiciels malveillants ne peuvent pas transférer les ports, il est important de désactiver le protocole UPnP.
Le FBI a dit aux gens de désactiver l'UPnP
Vers la fin de 2001, le Centre de protection des infrastructures nationales du FBI a conseillé à tous les utilisateurs de désactiver UPnP en raison d’un débordement de mémoire tampon dans Windows XP. Ce bogue a été corrigé par un correctif de sécurité. Le NIPC a en fait publié une correction pour cet avis plus tard, après avoir réalisé que le problème n’était pas lié à UPnP. (La source)
Est-ce un problème? Non. Certaines personnes se souviennent peut-être de l’avis du NIPC et ont une vision négative de l’UPnP, mais cet avis était erroné à l’époque et le problème spécifique a été résolu par un correctif pour Windows XP il ya plus de dix ans.
L'attaque Flash UPnP
UPnP ne nécessite aucune sorte d’authentification de l’utilisateur. Toute application exécutée sur votre ordinateur peut demander au routeur de transférer un port sur UPnP, raison pour laquelle le logiciel malveillant ci-dessus peut abuser de UPnP. Vous pouvez supposer que vous êtes en sécurité tant qu'aucun logiciel malveillant ne s'exécute sur les périphériques locaux, mais vous vous trompez probablement.
Flash UPnP Attack a été découvert en 2008. Une applet Flash spécialement conçue, s'exécutant sur une page Web de votre navigateur Web, peut envoyer une demande UPnP à votre routeur et lui demander de transférer les ports. Par exemple, l'applet peut demander au routeur de transférer les ports 1-65535 vers votre ordinateur, en l'exposant ainsi à l'ensemble de l'Internet. L’attaquant devrait toutefois exploiter une vulnérabilité dans un service réseau exécuté sur votre ordinateur. Toutefois, l’utilisation d’un pare-feu sur votre ordinateur contribuera à vous protéger.
Malheureusement, la situation empire: sur certains routeurs, une applet Flash peut modifier le serveur DNS principal avec une requête UPnP. Le transfert de port serait le moindre de vos soucis - un serveur DNS malveillant pourrait rediriger le trafic vers d'autres sites Web. Par exemple, il pourrait pointer entièrement Facebook.com vers une autre adresse IP. La barre d’adresse de votre navigateur Web indiquerait Facebook.com, mais vous utiliseriez un site Web configuré par une organisation malveillante.
Est-ce un problème? Oui. Je ne trouve aucune indication indiquant que cela a déjà été corrigé. Même s'il était corrigé (ce serait difficile, car c'est un problème avec le protocole UPnP lui-même), de nombreux routeurs plus anciens encore utilisés seraient vulnérables.
Mauvaises implémentations UPnP sur les routeurs
Le site Web UPnP Hacks contient une liste détaillée des problèmes de sécurité liés à la manière dont différents routeurs implémentent UPnP. Ce ne sont pas nécessairement des problèmes avec UPnP lui-même; ce sont souvent des problèmes avec les implémentations UPnP. Par exemple, de nombreuses implémentations UPnP de routeurs ne vérifient pas les entrées correctement. Une application malveillante peut demander à un routeur de rediriger le réseau vers des adresses IP distantes sur Internet (au lieu d'adresses IP locales), auquel cas le routeur serait conforme. Sur certains routeurs basés sur Linux, il est possible d’utiliser UPnP pour exécuter des commandes sur le routeur. (Source) Le site Web énumère de nombreux autres problèmes de ce type.
Est-ce un problème? Oui! Des millions de routeurs dans la nature sont vulnérables. De nombreux fabricants de routeurs n’ont pas réussi à sécuriser leurs implémentations UPnP.
Devez-vous désactiver UPnP?
Lorsque j’ai commencé à écrire ce billet, j’espérais en conclure que les défauts d’UPnP étaient plutôt mineurs, une simple question d’échange d’un peu de sécurité pour plus de commodité. Malheureusement, il semble que l'UPnP pose de nombreux problèmes. Si vous n’utilisez pas d’applications nécessitant une redirection de port, telles que les applications entre homologues, les serveurs de jeux et de nombreux programmes VoIP, il est peut-être préférable de désactiver complètement l’UPnP. Les gros utilisateurs de ces applications voudront se demander s’ils sont prêts à renoncer à la sécurité pour plus de commodité. Vous pouvez toujours transférer des ports sans UPnP; c'est juste un peu plus de travail. Consultez notre guide sur la redirection de port.
D’autre part, ces failles de routeur ne sont pas activement utilisées à l’état sauvage. Par conséquent, les chances pour que vous rencontriez un logiciel malveillant exploitant les failles de l’implémentation UPnP de votre routeur sont plutôt faibles. Certains logiciels malveillants utilisent UPnP pour transférer des ports (le ver Conficker, par exemple), mais je n’ai pas trouvé d’exemple de programme malveillant exploitant ces défauts de routeur.
Comment puis-je le désactiver? Si votre routeur prend en charge le protocole UPnP, vous trouverez une option pour le désactiver dans son interface Web. Consultez le manuel de votre routeur pour plus d’informations.
Êtes-vous en désaccord sur la sécurité de l'UPnP? Laissez un commentaire!