 Décidément l'actualité est chargée en ce moment dans le domaine de la sécurité des matériels informatiques ! Après les GPU NVIDIA, l'Intel AMT ou encore le pilote audio HP, c'est au tour des cartes mémoire communicantes Toshiba FlashAir d'être victimes de failles de sécurité qui donnent accès à des photos non partagées par l'utilisateur.
Pour être exact, ce sont les cartes Toshiba FlashAir répondant à la norme SDHC Class 10 (écriture à 10 Mo/s) qui sont affectées par cette vulnérabilité à savoir les modèles FlashAir W-02 (SD-WC/WD) ainsi que le modèle de dernière génération FlashAir W-03 (SD-WE). La carte FlashAir de première génération (Class 6) n'est pas concernée (SD-WB/WL).
Pour rappel, les cartes mémoire FlashAir disposent d'une connectivité sans fil Wi-Fi qui leur permet de transférer directement les photos vers un ordinateur sans raccorder ce dernier avec l'appareil photo via le traditionnel câble USB. Ces cartes disposent par ailleurs d'une fonction, nommée PhotoShare, qui permet à l'utilisateur de partager certaines photos avec d'autres personnes. PhotoShare crée pour cela un réseau Wi-Fi spécifique qui remplace temporairement la connexion Wi-Fi par défaut qui est alors utilisable par des invités à qui le SSID temporaire et la clé de sécurité ont été communiqués.
Toutefois, Toshiba a été prévenu en décembre 2016 que l'activation et le réglage de cette fonction PhotoShare ne marche pas correctement lorsque l'on utilise l'interface web (http://flashair) au lieu de l'application Android/iOS. En effet, l'activation de PhotoShare ne crée pas le réseau Wi-Fi temporaire attendu mais, au lieu de cela, modifie le réseau principal et lui attribue les valeurs par défaut tant pour le SSID (photoshare_xxxxxxxxxxxx) que pour le mot de passe (00000000). De ce fait, n'importe qui peut se connecter à l'interface PhotoShare de la carte FlashAir en utilisant la clé par défaut et visualiser les photos sans forcément en avoir le droit à l'origine. Cette faille a été référencée sous l'identifiant CVE-2017-2162.
Comme si cela ne suffisait pas, il existe en réalité une seconde vulnérabilité dans cette fonction PhotoShare des cartes FlashAir qui est étroitement liée à la première. Lorsque l'utilisateur sélectionne les photos à partager avec PhotoShare (en fonction de leur date de capture), toujours en utilisant l'interface web au lieu de l'application mobile, les sélections ne sont pas prises en compte et ce sont l'intégralité des photos stockées sur la carte SDHC qui sont finalement accessibles. Ce bug, référencé CVE-2017-2161 est bien évidemment problématique d'autant plus lorsqu'il est couplé à la faille précédente puisque n'importe quelle machine se situant à proximité a alors accès à l'intégralité des photos de la carte mémoire...
Il faut quand même relativiser l'importance de ces failles d'une part car le SSID en cause émis par la carte n'a qu'une durée de vie temporaire et expire dès que l'appareil photo est éteint. D'autre part, cela ne touche que la fonction optionnelle de partage PhotoShare et non la transmission classique de photos entre le PC et l'APN. Pour finir, seule l'interface web accessible depuis un navigateur est affectée et non l'application FlashAir pour Android et iOS qui a sans doute la préférence des utilisateurs. Ces failles ont d'ailleurs un score CVSS de base plutôt faible (4,3 et 3,5).
Si vous possédez une carte Toshiba FlashAir, soyez malgré tout rassurés car Toshiba vient de mettre en ligne un nouveau firmware qui corrige ces deux vulnérabilités. Enfin qui corrige c'est beaucoup dire car en réalité, Toshiba a simplement désactivé la possibilité de configurer le partage de photos PhotoShare depuis un navigateur web. Seule l'application mobile le permet désormais. Il s'agit du firmware 2.00.04A (F19BAW3AW2.00.04) pour les cartes FlashAir W-02 et du firmware 3.00.02A (FA9CAW3AW3.00.02) pour les cartes FlashAir W-03. La mise à jour se fait depuis un PC sous Windows Vista/7/8.1/10.
Les applications Toshiba vulnérables à une élévation de privilèges
Pour en terminer avec les cartes mémoire communicantes Toshiba (FlashAir et TransferJet), sachez qu'elles rencontrent en réalité un troisième problème de sécurité. Ce n'est cette fois pas leur micrologiciel interne qui est en cause mais les applications additionnelles fournies avec comme l'application de configuration FlashAirTool ou encore les utilitaires de mise à jour du firmware justement. Le programme d'installation de ces outils ne protège pas correctement le chemin d'accès à un fichier DLL ce qui permet à un malware déjà présent sur le système d'exploiter cette faille et d'exécuter du code malveillant en utilisant les permissions de l'utilisateur ayant lancé l'application Toshiba.
En raison de ce risque d'élévation de privilèges, cette faille, référencée CVE-2017-2149, est, elle, beaucoup plus critique et bénéficie d'un score CVSS de base de 7,8. Alerté en décembre 2016, Toshiba avait retiré en mars dernier de son site web l'ensemble des programmes impactés par cette vulnérabilité et vient finalement de les remettre en ligne après avoir corrigé le bug en question. Les fichiers patchés présentent le suffixe A dans leur numéro de version. Décidément, ce n'est vraiment pas une bonne séquence pour Toshiba en ce moment !
Firmwares correctifs pour les cartes mémoire SDHC Toshiba FlashAir
Fichiers Toshiba dont l'installateur seul a été mis à jour
|
Modérateur TLD
|
|
Actualités
24/04/24 La version finale de rekordbox 7.0 publiée par Pioneer DJ en mai 2024 ?
24/04/24 Pioneer DJ DJM-A9 1.04
24/04/24 Microsoft Surface Laptop 5 22621 24.040.1348.0 WHQL
24/04/24 Mevo Wireless Camera 0.8.4.17.1 bêta
24/04/24 HKG GK HE Series 1.0.0.10
24/04/24 Hercules HSM Series/Stream Control 1.HSM.2024/1.3.4 WHQL
