Huawei criblés de backdoor, zéro day, et de vulnérabilités critiques

 PUBLIC VISE : UTILISATEUR HUAWEI

Les problèmes de Huawei ne cessent de s'aggraver lorsqu'une entreprise de sécurité spécialisée dans les appareils IoT a découvert de nombreuses vulnérabilités sur l'ensemble de la gamme de produits de l'entreprise.

Finite State a analysé plus de 1,5 million de fichiers intégrés dans près de 10 000 images de microprogrammes prenant en charge 558 produits à la recherche de risques, notamment des identifiants backdoor codés en dur, une utilisation non sécurisée des clés cryptographiques, des indicateurs de pratiques de développement logiciel non sécurisées et la présence de données 0- vulnérabilités par jour.

«Les résultats de l'analyse montrent que les appareils Huawei présentent un risque quantitatif élevé pour leurs utilisateurs. Dans pratiquement toutes les catégories que nous avons étudiées, nous avons constaté que les appareils Huawei étaient moins sécurisés que les appareils comparables d'autres fournisseurs », indique le rapport.

La principale constatation est que 55% des périphériques avaient au moins une porte dérobée, principalement sous la forme de comptes d'utilisateur et de mots de passe par défaut codés en dur, ainsi que de plusieurs types de clés cryptographiques incorporées. Cependant, Finite State a également détecté en moyenne 102 vulnérabilités connues associées à chaque microprogramme, bon nombre d’entre elles étant considérées comme critiques ou graves, ainsi que des centaines de problèmes potentiels jour zéro.

L'une des raisons pour lesquelles les vulnérabilités ont été incluses est le processus de développement de Huawei. L'étude a révélé que les ingénieurs de la société n'utilisaient pas de pratiques de développement sécurisées, incluant parfois des bibliothèques de logiciels vieilles de 20 ans à la place de la version actuelle plus sécurisée. 

«Dans l’ensemble, malgré les affirmations de Huawei sur la priorité à donner à la sécurité, la sécurité de leurs appareils semble être à la traîne par rapport au reste du secteur. En analysant l'évolution des micrologiciels au fil du temps, cette étude montre que l'état de sécurité de ces appareils ne s'améliore pas avec le temps - et dans au moins un cas que nous avons observé, il a en fait diminué »,

indique le rapport.

Certains des autres résultats de vulnérabilité:

• 29% de tous les appareils testés avaient au moins un nom d'utilisateur et un mot de passe par défaut stockés dans le micrologiciel.
• 76 instances de microprogramme dans lesquelles le périphérique était configuré par défaut de sorte qu'un utilisateur root doté d'un mot de passe codé en dur puisse se connecter via le protocole SSH, permettant ainsi un accès par la porte arrière par défaut.
• Huit images de microprogrammes différentes ont été détectées comme ayant déjà été pré-calculées authorisé_keys codé en dur dans le microprogramme.
• 424 images de microprogrammes différentes contenant des clés SSH privées codées en dur

L'examen final par Finite State n'était pas positif pour Huawei.

"Par rapport à des appareils similaires d'autres fournisseurs, nous démontrons quantitativement que la sécurité de Huawei est bien pire",

indique le rapport.

Il y avait de bonnes nouvelles pour Huawei, sinon pour le gouvernement américain. Les fabricants américains de puces, Intel et Micron, ont découvert et utilisent une échappatoire dans l' interdiction par un gouvernement fédéral de vendre des pièces à Huawei depuis un mois et de continuer à vendre les composants de la société, a rapporté le New York Times . L'échappatoire permet à certains produits fabriqués par des entreprises américaines installées dans des usines à l'étranger d'être exemptés de l'interdiction.

Source :scmagazine

---***---