au dela des clients iot
combien de "geek" désactivent leur parfeu parce que c'est chiant ça empêche de se connecter ou ça va optimiser ma latence sur les fps

sans parler d'une faille ou autre dans un OS...

au moins avec un parfeu sur une box tu protège tous ces cas potentiels
puis bon c'est quand même le principe de base sur un réseau privé.

La position de Free freine l'adoption de l'IPv6 sur les objets connectés.

La mode actuelle en termes de sécu c'est le zero trust. Free est juste un peu en avance sur son temps, et de leur demander de masquer le "insecure by design" des objets connectés est un peu exagéré à mon sens. C'est plutôt aux dev IOT de se sortir des doigts et de coder proprement, à la base.

Même si le produit est secure by design, il n'est pas exempt de faille.

L'obsolescence programmée, rend vulnérables les produits plus maintenus.

C'est bien à la box de protéger les utilisateurs par defaut, et le rendre désactivable pour les utilisateurs avancés.

Ce qui serait bien c'est de pouvoir interdire l'utilisation d'UPNP pour certains peripherique ou pouvoir catégoriser les appareils IOT, pour les placer dans des Vlan isolés

C'est clair que les vlan et le routage statique manque dans la freebox

Oui ça c'est une légende urbaine, ça a été exploité dans le temps avec mirai, et c'était des caméras de vidéosurveillance ou autres volontairement exposées sur internet.

Une vague de DDoS lancée par des objets IoT, j'ai encore jamais vu ça

En 2016, on se rappelle du DDoS géant qui a paralysé de grands sites webs. https://dpo-consulting.fr/objets-connectes-attaque-historique-trembler-geants-dinternet/

Sinon, pour rappel, il y a des robots qui font du balayage en permanence sur tous les ranges, tentent de brute force l'accès ssh. Quand ils se connectent avec succès, font tourner des scripts sh automatiques pour prendre la main sur la machine. Sur mon VPS avec une IP publique v4 et v6 les milliers de tentatives d'intrusion par jour sont exclusivement en v4. Ils essaient toujours avec le login root, ils peuvent toujours essayer puisque c'est désactivé pour ma part. C'est moins le cas d'objets connectés conçu de manière... rapide.

oui c'est Mirai comme indiqué par Hugues mais creuse un peu plus le sujet avant de faire des généralités pareil et propager des fake news.


> C'est moins le cas d'objets connectés conçu de manière... rapide.

la encore supposition ... la plupart n'ont pas d'accés SSH et encore moins un mécanisme qui enverrai un ordre UPnP au routeur pour ouvrir un port vers un éventuel accès SSH.

Je ne considère pas vraiment les caméras comme de l'IoT, ou en tout cas, pas toutes.

Les caméras "standalone", qui nécéssitent d'ouvrir des ports, c'est une saloperie et ça finit en botnet.

Les caméras managées style unifi, nest ou whatever, ça ne finira jamais en botnet car pas exposées sur une ip publique.

Et pour le VLAN IoT, tu confonds deux choses : Le risque d'être membre d'un botnet (nul) VS le risque qu'un objet IoT soit compromis et serve à d'autres choses, notamment sniffer des paquets dans le LAN, voir simplement remonter un peu trop de télémétrie, qui justifie de ne pas le mettre dans le vlan principal.