Le protocole UPnP n’est pas compatible avec la sécurité

, par  Genma , popularité : 1%

Qu’est ce que le protocole UPnP ?

UPnP, comme son nom l’indique, est dérivé de PnP (Plug aNd Play), qui est une technologie qui permet de faciliter l’installation, la configuration et l’ajout de périphériques informatiques à un micro-ordinateur. Universal Plug And Play (UPnP) étend cette simplicité en incluant l’ensemble du réseau informatique, permettant la découverte et le contrôle des périphériques, y compris les dispositifs et services en réseau, tels que les imprimantes connectées au réseau ou les équipements électroniques.
Avec UPnP, un périphérique peut joindre le réseau dynamiquement, obtenir une adresse IP, transmettre ses capacités, en savoir plus sur la présence et les capacités d’autres périphériques et tout cela automatiquement sans recourir à aucune configuration du réseau. Les périphériques peuvent par la suite communiquer avec les autres périphériques directement. De plus UPnP est indépendant de tout système d’exploitation, langage de programmation ou support physique
Source

Formulé autrement et de façon plus simple, La fonction UPnP AV vous permet d’accéder simplement et depuis votre téléviseur (relié au boîtier TV) à un ou plusieurs ordinateurs se trouvant sur votre réseau local (qu’ils soient connectés à la Freebox en Ethernet ou en WiFi). Vous pourrez alors en parcourir le contenu (vidéos, images,...) et le diffuser sur votre téléviseur, à l’aide de votre télécommande Freebox.http://www.free.fr/assistance/2298.html

Les risques pour la sécurité

Comme tout ce qui touche à l’informatique, il peut y avoir des failles En temps normal, une application de partage de fichiers fonctionnant sur un ordinateur peut demander via UPnP à un routeur d’ouvrir un port spécifique et le lier au réseau local de son ordinateur afin d’ouvrir le partage de fichiers avec des utilisateurs distants.(...) UPnP est principalement destiné aux réseaux locaux, mais au cours des tests qu’ils ont effectués entre juin et novembre 2012, les chercheurs en sécurité de Rapid7 ont comptabilisé plus de 80 millions d’adresses IP publiques uniques ayant répondu à des requêtes UPnP envoyées via Internet. En outre, ils ont constaté que 20 % - 17 millions - de ces adresses IP renvoyaient à des appareils exposés à Internet par le service SOAP (Simple Object Access Protocol) UPnP. « Ce dernier peut permettre aux pirates de cibler des systèmes installés derrière un pare-feu et expose leurs informations sensibles », ont expliqué les chercheurs de Rapid7.

Dans un de ces billets, Aeris dit du protocole UPnP et je sais aussi qu’il est totalement déconseillé par toute personne qui tient plus ou moins à la sécurité de son réseau. En effet, ce protocole a pour objectif de permettre l’ouverture automatique de port sur la box ADSL à la demande d’un logiciel situé sur un autre ordinateur. C’est donc un énorme trou de sécurité, toute machine infectée pouvant alors se publier seule sur Internet et typiquement exposer le port SSH (...). Ce protocole(UPnP)doit donc être désactivé chez tous les utilisateurs.

Si on effectue une recherche sur le web, on peut trouver des articles comme comment ouvrir des ports sans le mot de passe du routeur qui explique comment installer un logiciel qui, si UPnP est activé sur le routeur du réseau, permet d’ouvrir un port vers l’extérieur...

Alors quoi faire ?

Il est vrai que le protocole UPnP est bien pratique pour récupérer des fichiers vidéos ou audio en partage sur son réseau local, sans que l’on est à s’occuper d’une quelconque configuration. Mais comme souvent, dès lors que l’on simplifie les choses, qu’on les rend facile et accessible, on cache ce qu’il y a derrière... et on introduit des risques potentiels.

Les box, par défaut, font du NAT et l’ouverture et la redirection de ports doivent être configurés par les utilisateurs dans l’espace de gestion). Le fait de pouvoir ouvrir n’importe quel port sur un routeur fait qu’un ordinateur ayant un virus sera accessible depuis l’extérieur sans qu’on le sache. On perd alors tout l’intérêt de ce routeur comme outil de protection (sic). Puisse se billet sensibiliser à cette problématique de l’UPnP.