Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Fuite chez ASUS autour de sa solution AsusWRT de configuration des réseaux Wi-Fi

AsusWRT est une application web servant à configurer son réseau local, relier les objets connectés et autres enceintes « intelligentes ». Devant notamment assurer le lien entre l’équipement local et Internet, AsusWRT nécessite un compte qui enregistre un certain nombre de données.

Selon Noam Rotem et Ran Locar, chercheurs chez vpnMentor, cette base de données a été attaquée par des pirates, qui ont pu en récupérer au moins une partie.

Les informations contenues dans la base n’étaient pas directement identifiantes. Pas de nom, d’adresse postale ou de numéro de téléphone. Cependant, elles sont bien assez précises pour poser problème : adresse IP, nom d’utilisateur, nom de l’appareil, usage, commandes IFTTT, longitude et latitude, pays et ville. 

Il est donc en théorie possible de retrouver la maison d’un utilisateur d’AsusWRT. Problématique également, la base contenait la liste des commandes exécutées par Alexa, fournissant également des renseignements sur le quotidien de la personne.

Selon vpnMentor toujours, ASUS a clos sa base de données, dont on se demande pourquoi elle contenait des informations aussi précises. Les chercheurs recommandent de désinstaller AsusWRT et de se rapprocher du constructeur pour lui demander comment se protéger de cette fuite de données.

8 commentaires
Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 07/11/19 à 09:30:18

Le futur que l'on nous prépare a l'air passionnant.

Avatar de Norde Abonné
Avatar de NordeNorde- 07/11/19 à 10:14:45

Vraiment, aucune raison de s'inquiéter pour nos données personnelles :transpi:

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 07/11/19 à 10:16:19

rhôô ça va... L'amélioration de ton expérience utilisateur vaut bien ça non ? :transpi:

Avatar de mikeul Abonné
Avatar de mikeulmikeul- 07/11/19 à 11:07:33

C'est l'une des raisons pour lesquelles j'ai renvoyé il y a quelques mois un routeur ASUS que j'avais acheté. L'appli est plutôt bien foutu, mais l'activation de certaines fonctionnalités implique d'accepter d'envoyer des infos (ici à Asus, pour d'autres modules à Trendmicro). Sur un routeur, qui est censé garantir un certain niveau de sécurité, ça la fout mal.

Édité par mikeul le 07/11/2019 à 11:07
Avatar de huygens Abonné
Avatar de huygenshuygens- 07/11/19 à 21:25:57

J'ai un routeur Asus depuis Nov 2014 (5 ans). J'ai simplement refusé d'utiliser leur fonctionalité AI Cloud (y inclus celles liés à TrendMicro) et je n'utilise pas leur application mobile. Du coup, je n'ai pas besoin de compte Asus. J'ai juste un compte local sur le routeur. Ca marche et ca ne risque pas de fuite de données.

Note que j'ai testé ces fonctionalités à un instant donné par le passé. Elles n'apportent rien vraiment de nécessaires et je les ai abandonnées toutes. J'ai utilisé leur App un peu plus longuement car elle est sympa. Mais quand ils ont activé automatiquement l'interface admin web sur le WAN pour permettre de l'utiliser hors de chez soi, ma réponse fut directe : désinstallation de l'App.

Bref, Asus n'est pas clean sur ses features spéciales. Mais 5 ans après l'achat, il y a toujours de mises à jour de fonctionalité et de sécurité pour ce routeur. Je connais peu de constructeur grand public avec un tel support! (Après il faut rester lucide sur ces mises à jour de sécurité, car par example le kernel Linux est complètement obsolète... mais sur ce genre de matériel, les smartphones et le monde embarqué en général c'est trop souvent le cas)

Toutefois, j'en change enfin pour un routeur fait maison, je veux des fonctionalités plus avancées côté réseau (e.g. VLAN, etc.) et au delà de 600Mb/s il ne suit pas or ma connection est maintenant à 400Mb/s bref bientôt il ne tiendra plus la charge. Mais pour du grand public, ces petits routeurs sont très bien et sans utiliser de compte Asus, ils ont toutes les fonctions nécessaires.

Avatar de mikeul Abonné
Avatar de mikeulmikeul- 07/11/19 à 22:21:44

huygens a écrit :

J'ai un routeur Asus depuis Nov 2014 (5 ans). J'ai simplement refusé d'utiliser leur fonctionalité AI Cloud (y inclus celles liés à TrendMicro) et je n'utilise pas leur application mobile. Du coup, je n'ai pas besoin de compte Asus. J'ai juste un compte local sur le routeur. Ca marche et ca ne risque pas de fuite de données.

Certes mais dans ce cas, je devais me passer des fonctionnalités avancées de stats d'utilisation du réseau. Or ces fonctions avancées étaient plutôt bien foutues alors que le monitoring de base trop léger.
Bref, j'ai dû faire un choix.
Pour les autres que j'ai essayés (Ubiquiti, Synology que j'ai finalement gardé), je n'ai pas ce problème mais le monitoring est moins avancé (mais tjs mieux que la fonction de base Asus)

Avatar de justmwa Abonné
Avatar de justmwajustmwa- 08/11/19 à 07:52:00

Sinon il y ahttps://www.asuswrt-merlin.net/ :) Et ça tourne même sur Linksys EA6900 / Netgear R7000 en cherchant un peu.... rapport fonctionnalités/sécurité/prix imbattable.
 

Avatar de dyox Abonné
Avatar de dyoxdyox- 08/11/19 à 09:52:52

Il est clair que le firmware Asuswrt-Merlin est vraiment un must-have. Le seul reproche que je lui fais (pour mon utilisation) , il spam toutes les 5s l'adresse dns.msftncsi.com, chose que j'ai découvert grâce à Pi hole.
https://www.snbforums.com/threads/constant-unwanted-traffic-to-dns-msftncsi-com-...
Et comme il accepte les scripts, on peut en faire un Pi hole du pauvre (sans sa simplicité/convivialité)

Il n'est plus possible de commenter cette actualité.