Étant donné que les équipements d’occasion sont à prix réduit, il serait potentiellement possible pour les cybercriminels d’investir dans l’achat d’appareils usagés pour les exploiter à des fins d’information et d’accès au réseau, puis d’utiliser eux-mêmes les informations ou de les revendre. Les chercheurs d’ESET disent qu’ils ont débattu de l’opportunité de publier leurs découvertes, car ils ne voulaient pas donner de nouvelles idées aux cybercriminels, mais ils ont conclu qu’il était plus urgent de sensibiliser le public à ce problème.
“L’une de mes principales inquiétudes est que, si quelqu’un de mal ne fait pas cela, il s’agit presque d’une faute professionnelle de pirate informatique, car ce serait si facile et évident”, déclare Camp.
Dix-huit routeurs ne représentent qu’un petit échantillon des millions d’appareils de réseautage d’entreprise circulant dans le monde sur le marché de la revente, mais d’autres chercheurs affirment avoir rencontré à plusieurs reprises les mêmes problèmes dans leur travail.
“Nous avons acheté toutes sortes d’appareils intégrés en ligne sur eBay et d’autres vendeurs d’occasion, et nous en avons vu beaucoup qui n’ont pas été effacés numériquement”, déclare Wyatt Ford, responsable de l’ingénierie chez Red Balloon Security, un Internet des objets. société de sécurité. “Ces appareils peuvent contenir des trésors d’informations qui peuvent être utilisées par de mauvais acteurs pour cibler et mener des attaques.”
Comme dans les conclusions d’ESET, Ford affirme que les chercheurs de Red Balloon ont trouvé des mots de passe et d’autres informations d’identification et des informations d’identification personnelle. Certaines données telles que les noms d’utilisateur et les fichiers de configuration sont généralement en texte brut et facilement accessibles, tandis que les mots de passe et les fichiers de configuration sont souvent protégés car ils sont stockés sous forme de hachages cryptographiques brouillés. Mais Ford souligne que même les données hachées sont toujours potentiellement à risque.
“Nous avons pris des hachages de mots de passe trouvés sur un appareil et les avons piratés hors ligne. Vous seriez surpris du nombre de personnes qui basent encore leurs mots de passe sur leurs chats”, dit-il. “Et même des choses qui semblent anodines comme le code source, l’historique des commits, les configurations réseau, les règles de routage, etc., peuvent être utilisées pour en savoir plus sur une organisation, ses employés et la topologie de son réseau.”
Les chercheurs d’ESET soulignent que les organisations peuvent penser qu’elles sont responsables en passant des contrats avec des sociétés de gestion d’appareils externes. les entreprises d’élimination des déchets électroniques, ou même les services de désinfection des appareils qui prétendent effacer de gros lots d’appareils d’entreprise pour les revendre. Mais en pratique, ces tiers peuvent ne pas faire ce qu’ils prétendent. Et Camp note également que davantage d’organisations pourraient tirer parti du cryptage et d’autres fonctionnalités de sécurité déjà proposées par les routeurs grand public pour atténuer les retombées si des appareils qui n’ont pas été effacés se retrouvent dans le monde.
Camp et ses collègues ont tenté de contacter les anciens propriétaires des routeurs usagés qu’ils avaient achetés pour les avertir que leurs appareils étaient maintenant dans la nature et vomissaient leurs données. Certains étaient reconnaissants pour l’information, mais d’autres semblaient ignorer les avertissements ou n’offraient aucun mécanisme par lequel les chercheurs pourraient rapporter les résultats de sécurité.
“Nous avons utilisé des canaux de confiance que nous avions avec certaines entreprises, mais nous avons ensuite découvert que beaucoup d’autres entreprises étaient beaucoup plus difficiles à joindre”, déclare Camp. “Effroyablement.”
