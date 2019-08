Des routeurs, des modems, des imprimantes, des scanneurs d'imagerie par résonnance magnétique et même des ascenseurs sont potentiellement touchés par 11 vulnérabilités informatiques récemment découvertes.

Six de ces failles sont considérées comme critiques puisqu’elles rendent possible l’exécution de code à distance, ce qui peut permettre à un ou une pirate d’en prendre le contrôle.

De plus, elles peuvent être utilisées pour propager des maliciels sur un réseau, infectant par le fait même d’autres appareils.

Présentes depuis 13 ans

Les failles, collectivement baptisées Urgent/11 par Armis Labs, la firme les ayant découvertes, touchent des appareils utilisant le système d’exploitation VxWorks.

Armis Labs décrit VxWorks comme le « système d’exploitation le plus répandu dont vous n’avez probablement jamais entendu parler ». Ce système serait installé sur plus de 2 milliards d’appareils, selon la firme, y compris dans les milieux industriels et médicaux. Il n’est toutefois pas utilisé sur les ordinateurs personnels grand public.

Les vulnérabilités Urgent/11 seraient présentes dans VxWorks depuis le lancement de la version 6.5 en 2006. Elles ont donc subsisté dans le système d’exploitation pendant 13 ans à l’insu des personnes l'ayant conçu.

Des mises à jour disponibles

La version 7 de VxWorks, lancée le 19 juillet, contient des correctifs pour toutes les failles décrites par Armis Labs dans son rapport (Nouvelle fenêtre) . La firme de cybersécurité dit avoir collaboré avec Wind River, l’entreprise derrière VxWorks, pour régler les problèmes.

Des mises à jour (Nouvelle fenêtre) ont été émises par Wind River pour aider le public à colmater les brèches dans leurs systèmes, et d’autres pourraient suivre. Il est recommandé de les appliquer dès qu'elles sont offertes.

La relative ubiquité de VxWorks jumelée à sa piètre notoriété pourrait toutefois compliquer la mise à jour des systèmes touchés, de nombreux utilisateurs et utilisatrices ignorant probablement que leur appareil est à risque.

Les versions spécialisées VxWorks 653 et VxWorks Cert Edition ne contiennent pas les failles découvertes par Armis Labs.