La Californie adopte un projet de loi à l’encontre des mots de passe faibles
“password”, “admin”, “default”, “123456”… Ces mots de passe par défaut jugés faibles, illégaux en Californie d’ici 2020.
En 2016, GData a mené une étude sur 12 000 routeurs (box) domestiques, et il s’avère que plus de 15% utilisaient des mots de passe particulièrement faibles (sans compter les mots de passe par défaut).
Les mots de passe par défaut des routeurs / box, sont bien trop rarement modifiés et la robustesse de ceux-ci laisse souvent à désirer. Si ce n’est pas le traditionnel couple “admin / admin”, ou “admin / password”, ça peut être un des crédentiels par défaut utilisé par l’équipement et largement documenté / référencé de part le web. Des services en ligne ont d’ailleurs vu le jour, comme RouterPassword qui recense tous les mots de passe par défaut en fonction des marques / modèles d’équipements. Source d’information juteuse pour tout auditeur et attaquant…
Concernant cette problématique de longue date, la Californie a adoptée une loi qui impose à tous les constructeurs d’équipement de type IoT (Internet of Things) de renforcer les mots de passe initiaux de leurs produits d’ici à 2020.
Autrement dit, fini les couples de crédentiels par défaut ! De nouvelles mesures doivent être implémentées, pour fournir notamment un mot de passe unique et robuste par équipement dès lors sortie d’usine.
Attention toutefois aux effets de bord, ce genre d’implémentation n’est pas nouvelle : il y a quelques années, les box Internet d’un FAI de renom définissaient un mot de passe (et une clé WPA) par défaut sur tout ses équipements, et ce de manière “unique” en dérivant (via des algorithmes cryptographiques et de hachage) le nom par défaut du réseau Wifi (ESSID), ou même à partir des 3 derniers octets de l’adresse Mac.
Certes cette implémentation définissait un mot de passe / clé unique et robuste (en termes de complexité) pour chaque équipement, mais une fois l’algorithme déterminé (reverse firmware), il était très simple de pré-calculer le mot de passe / clé à partir du nom du réseau Wifi ou de l’adresse Mac (BSSID) exposée.
Au travers du document Information Privacy: Connected Devices bill, l’état de Californie demande ces nouvelles mesures de sécurité auprès des constructeurs. Il est notamment indiqué, noir sur blanc :
1798.91.04. (a) A manufacturer of a connected device shall equip the device with a reasonable security feature or features that are all of the following:
(1) Appropriate to the nature and function of the device.
(2) Appropriate to the information it may collect, contain, or transmit.
(3) Designed to protect the device and any information contained therein from unauthorized access, destruction, use, modification, or disclosure.
(b) Subject to all of the requirements of subdivision (a), if a connected device is equipped with a means for authentication outside a local area network, it shall be deemed a reasonable security feature under subdivision (a) if either of the following requirements are met:
(1) The preprogrammed password is unique to each device manufactured.
(2) The device contains a security feature that requires a user to generate a new means of authentication before access is granted to the device for the first time.
A noter cependant qu’aucune précision n’est apportée sur la manière dont les équipementiers doivent se conformer, techniquement, à ces nouvelles obligations. Ni même à les obliger à déployer des patchs / correctifs régulièrement en cas de découverte de vulnérabilité.
En tout cas, c’est un grand pas en avant l’adoption de cette loi pour un état tel que la Californie. Si seulement cela pouvait se généraliser, afin d’accroître significativement la sécurité des objets connectés… Ces équipements sont très prisés des attaquants, l’actualité le confirme avec des attaques DDoS d’envergure, des compromissions à grande échelle de très nombreux routeurs, etc.
Dans tous les cas, quitte à le répéter une nouvelle fois : changer les mots de passe par défaut d’administration des équipements et les clés qu’ils utilisent, par des secrets uniques et robustes, est indispensable à l’heure d’aujourd’hui.