Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » Le protocole UPnP n’est pas compatible avec la sécurité

Le protocole UPnP n’est pas compatible avec la sécurité

D 30 septembre 2015     H 09:00     A Genma     C 6 messages   Logo Tipee

Qu’est ce que le protocole UPnP ?

UPnP, comme son nom l’indique, est dérivé de PnP (Plug aNd Play), qui est une technologie qui permet de faciliter l’installation, la configuration et l’ajout de périphériques informatiques à un micro-ordinateur. Universal Plug And Play (UPnP) étend cette simplicité en incluant l’ensemble du réseau informatique, permettant la découverte et le contrôle des périphériques, y compris les dispositifs et services en réseau, tels que les imprimantes connectées au réseau ou les équipements électroniques.
Avec UPnP, un périphérique peut joindre le réseau dynamiquement, obtenir une adresse IP, transmettre ses capacités, en savoir plus sur la présence et les capacités d’autres périphériques et tout cela automatiquement sans recourir à aucune configuration du réseau. Les périphériques peuvent par la suite communiquer avec les autres périphériques directement. De plus UPnP est indépendant de tout système d’exploitation, langage de programmation ou support physique
Source

Formulé autrement et de façon plus simple, La fonction UPnP AV vous permet d’accéder simplement et depuis votre téléviseur (relié au boîtier TV) à un ou plusieurs ordinateurs se trouvant sur votre réseau local (qu’ils soient connectés à la Freebox en Ethernet ou en WiFi). Vous pourrez alors en parcourir le contenu (vidéos, images,...) et le diffuser sur votre téléviseur, à l’aide de votre télécommande Freebox.http://www.free.fr/assistance/2298.html

Les risques pour la sécurité

Comme tout ce qui touche à l’informatique, il peut y avoir des failles En temps normal, une application de partage de fichiers fonctionnant sur un ordinateur peut demander via UPnP à un routeur d’ouvrir un port spécifique et le lier au réseau local de son ordinateur afin d’ouvrir le partage de fichiers avec des utilisateurs distants.(...) UPnP est principalement destiné aux réseaux locaux, mais au cours des tests qu’ils ont effectués entre juin et novembre 2012, les chercheurs en sécurité de Rapid7 ont comptabilisé plus de 80 millions d’adresses IP publiques uniques ayant répondu à des requêtes UPnP envoyées via Internet. En outre, ils ont constaté que 20 % - 17 millions - de ces adresses IP renvoyaient à des appareils exposés à Internet par le service SOAP (Simple Object Access Protocol) UPnP. « Ce dernier peut permettre aux pirates de cibler des systèmes installés derrière un pare-feu et expose leurs informations sensibles », ont expliqué les chercheurs de Rapid7.

Dans un de ces billets, Aeris dit du protocole UPnP et je sais aussi qu’il est totalement déconseillé par toute personne qui tient plus ou moins à la sécurité de son réseau. En effet, ce protocole a pour objectif de permettre l’ouverture automatique de port sur la box ADSL à la demande d’un logiciel situé sur un autre ordinateur. C’est donc un énorme trou de sécurité, toute machine infectée pouvant alors se publier seule sur Internet et typiquement exposer le port SSH (...). Ce protocole(UPnP)doit donc être désactivé chez tous les utilisateurs.

Si on effectue une recherche sur le web, on peut trouver des articles comme comment ouvrir des ports sans le mot de passe du routeur qui explique comment installer un logiciel qui, si UPnP est activé sur le routeur du réseau, permet d’ouvrir un port vers l’extérieur...

Alors quoi faire ?

Il est vrai que le protocole UPnP est bien pratique pour récupérer des fichiers vidéos ou audio en partage sur son réseau local, sans que l’on est à s’occuper d’une quelconque configuration. Mais comme souvent, dès lors que l’on simplifie les choses, qu’on les rend facile et accessible, on cache ce qu’il y a derrière... et on introduit des risques potentiels.

Les box, par défaut, font du NAT et l’ouverture et la redirection de ports doivent être configurés par les utilisateurs dans l’espace de gestion). Le fait de pouvoir ouvrir n’importe quel port sur un routeur fait qu’un ordinateur ayant un virus sera accessible depuis l’extérieur sans qu’on le sache. On perd alors tout l’intérêt de ce routeur comme outil de protection (sic). Puisse se billet sensibiliser à cette problématique de l’UPnP.

6 Messages

  • Super article, merci
    Je suis immédiatement aller voir ce qu’il en était du coté de ma freebox v6
    Et là... je vois qu’il est activé par défaut et qu’il y a même une règle configurée automatiquement par skype (de mon smartphone) sans raison apparente.
    Bref j’ai supprimé la règle et désactivé la fonctionnalité (et puis j’ai supprimé skype de mon tel)


  • Il me semble que tu oubli une facette d’UPnP... Oui ce protocole est plein de trous, et oui il permet de faire des choses très dangereuses comme modifier la configuration du routeur. Mais ce n’est pas tout. C’est un protocole qui expose des services, ce qui donne donc une quantité impressionnante d’informations sur le matériel présent... J’en avais un peu parlé ici :
    http://hoper.dnsalias.net/tdc/index.php?post/2014/03/13/Oups-piratage-tele

    Bref, je pense qu’on est tous d’accord pour conseiller de désactiver ce truc partout. Le problème, c’est qu’il est tout le temps actif par défaut... Donc actif partout.


  • Ne pas confondre uPNP IGD, qui s’occupe d’ouvrir les port d’un routeur, et l’uPNP AV, qui s’occupe a l’intérieur d’un réseau, de distribuer de l’audio/video.

    Tout 2 utilisent des spécifications uPNP, mais ne sont pas lancé par le même service sur une machine.
    l’un et l’autre sont donc désactivable indépendamment.


  • De mémoire, l’UPnP est activé par défaut dans les box des 4 FAI commerciaux grand public :/ Je ne sais pas quelle pourcentage de la population cela représente, mais je ne pense pas me tromper en disant : plus de 80% de la population.

    Ensuite, normalement, tu as un firewall sur chaque PC (je crois même qu’il y en a un dans Windows, mais ça fait une 10e d’année que je n’en ai pas eu entre les mains, donc je ne les mettrai pas à couper ;-) ) donc si les ports de la machine sont fermés, qu’UPnP soit activé ou non ne change plus grand chose.

    Le problème est plus du côté des imprimantes réseau, ou des "équipement connectés" genre TV, lecteur DVD, réfrigérateur, etc..., sur lesquels tu n’as que rarement la main, et qui ne devrait pas être reliés à la box :)

    Perso, je considère la box comme ne faisant pas parti de mon réseau, donc je mets toujours un vrai routeur sur lequel j’ai la main derière, et c’est lui qui gère le réseau. L’UPnP de la box est donc bien pratique : je ne configure le NAT que sur mon routeur, et la box se débrouille avec son UPnP.


  • Soit à peu près le même principe que la faille dans les réseaux véhicules http://iceblog.free.fr/index.php?article119/automobile-hacking-piratage

    Faille qui pourrait être utile pour vérifier les tricheries des calculateurs, en ce moment...


  • UPnP est bien pratique, mais il ne faut surtout pas oublier une chose : un NAT (tel que pratiqué par une bidulebox) n’est PAS un parefeu.
    D’une part, si cela empêche bien le trafic de rentrer, il ne l’empêche pas de sortir.
    D’autre part, il est inefficace en IPv6 (à moins de l’avoir explicitement configuré pour, ce qui n’est pas possible sur les bidulebox).

    Je suis d’avis que l’implémentation d’UPnP présente dans les box ou autres routeurs configurés avec un/des réseaux privés d’un côté, un publique de l’autre ne devraient jamais ouvrir un port vers l’extérieur et ne devrais jamais ouvrir un port sur une demande venant d’internet (coucou la BBox).

    À part ça, je trouve ce service pratique pour les débutants qui souhaitent juste utiliser DLNA (streaming audio/vidéo).