Yihiecigar : un botnet à vapeur évité

Chose promise chose due, vous avez été nombreux à vous (me) poser des questions sur la nature de l’incident m’ayant poussé à contacter Yihiecigar au sujet d’une faille importante sur son site web, et à vous alerter d’un risque portant sur les téléchargements d’utilitaires et de firmwares, ainsi que d’éventuelles données personnelles que vous auriez communiqué. Nous allons également en profiter pour revenir sur une vieille histoire puisque l’actualité nous y incite afin que vous compreniez que l’incident susmentionné dépasse de loin le simple cadre de la vape.

Avant tout, je tiens à remercier Gil « Bonmatos » qui a grandement facilité nos échanges avec Esther de Yihi et toute l’équipe de Yihiecigar qui malgré le weekend a su porter une réponse rapide et satisfaisante, même si elle demeure perfectible, chose qui sera faite avec l’arrivée d’un nouveau site web qui est déjà dans les bacs.

Tout a commencé par des questions que je me posais sur la nature d’un chipset d’une box chinoise. Je me suis rendu sur le site de Yihi pour voir si ce chipset qui ressemblait très étrangement au SX350J était un original ou pas, et si ce dernier supporterait des modifications grâce à l’utilitaire proposé par Yihi. Première déconvenue, Yihie ne propose pas de somme de contrôle, il m’est donc impossible de savoir si le logiciel n’est pas altéré. Le DFU mode (le mode link) est aussi assez permissif.

En tapant une recherche sur le moteur du site, je me rends compte d’une vulnérabilité, c’est une vulnérabilité critique, mais ce n’était que le bonzai qui cachait l’Amazonie En poussant un peu les observations je constate que cette vulnérabilité n’est pas la seule.

A ce stade, on sait qu’il y a un truc pas net :

yihi1

L’hébergeur de Yihi utilise une ferme à sites web sur laquelle on dénombre plus de 3000 boutiques en ligne proposant des choses diverses et variées, ça va des fenêtres PVC au sextoys connectés, et tout ce petit monde est accessible, quasi en openbar sous l’url yihiecigar.com/*.

yihi2

Évidemment, on trouve beaucoup de mauvaises pratiques sur ces boutiques en ligne comme cette splendide configuration de serveur d’envoi de mail (Gmail), avec mot de passe en clair et en dur dans le source svp) :

yihi3

Expliquer la nature d’une vulnérabilité et son impact possible est toujours un peu compliqué, surtout quand on a pas forcément un interlocuteur technique en face de soi.

Voici ce que permettait la vulnérabilité :

  • Récupérer, modifier, effacer les bases de données des sites de Yihi et de toutes les autres boutiques ;
  • Modifier les fichiers en téléchargement sur le serveur pour proposer par exemple des logiciels altérés par des malwares ;
  • D’absolument tout faire sur la machine, et mêmes plusieurs… magie du « cloud ».

A ce stade, il me semble important de rappeler que non seulement Yihi n’était pas le seul impacté, mais qu’en plus il n’était pas le seul à proposer des logiciels de mise à jour pour ses firmwares, connectés ou non qu’ils commercialisent.

Nous avions il y a pas mal de temps parlé à 3 reprises d’un article de Jester et de rumeurs faisant état de ecig embarquant des malwares. Avec cet incident, si on ne peut pas encore parler de réalité perceptible, on ne peut que constater que la menace de voir nos box infecter nos ordinateurs ou servir de relai à des attaques est bien réelle et que ceci arrivera probablement un jour. En l’absence de normes et d’une sécurité souvent négligée pour tous les objets connectés ou « connectables » et de la croissance exponentielle de ces derniers, c’est inévitable.

L’actualité nous rappelle que l’internet des objets, c’est très bien, mais qu’il serait quand même bienvenu de se demander si on a vraiment besoin de connecter sa box à son smartphone ou à l’ordinateur de son entreprise, ou son sextoy à son routeur wifi. L’état de l’art en matière de sécurité pose de nombreux problèmes, peu de normes, une sécurité toujours grande oubliée, et des conséquences désastreuses comme cet énorme botnet de 500 000 objets connectés que votre box et des dizaines de milliers d’autres auraient pu rejoindre pour faire un peu toussoter le web en relayant des attaques. Et une chose est sûre, ce n’est là que le début.

Nous retiendrons enfin, il est bon de le répéter, le sérieux et le professionnalisme de Yihiecigar dans la résolution de l’incident.

Partager cet article :

Twitter Facebook Google Plus mail

2 comments

  1. Bonjour,

    Merci de faire la lumière sur ce sujet qui est beaucoup plus large que celui du site de yihiecigar. En effet le nombre de site web ne respectant pas les bonnes pratiques de sécurité y compris ceux de la vape qu’ils soient chinois, français ou autres … est très élevé.
    Que faire :
    – attention à tous vos téléchargements provenant de site web ayez un antivirus à jour et méfiez-vous
    – ne payer pas avec votre carte bancaire, préférer un tiers genre PayPal
    – créer un compte avec un mail « poubelle » pas avec votre mail de tous les jours
    – ne donner aucune information personnelle exacte : utilisez un pseudo, fausse date de naissance, etc … : ainsi en cas de piratage vos donnez personnelles ne feront pas le tour du web.
    – ne réutiliser pas le même mot de passe sur plusieurs sites

  2. Aïe, et pour les DNA et EScribe, qu’en est il ?
    Notamment ceux équipant les Box Chinoise, tel que Hcigar et autres ?
    La connexion de ces Box est inévitable, car sans cela il est impossible de les utiliser comme il se doit, en Contrôle Température.

Répondre

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *