SMB v1 : à quel niveau se situent les failles de sécurité ?

[quityourbitching]

Salut !

J'ai des interrogations concernant les serveurs SMB v1. J'ai un routeur Huawei B525s-23a1 qui en a un intégré (J'imagine que c'est la v1 car je suis obligé d'activer SMB v1 dans Windows) pour y accéder.
J'aimerais savoir si je peux l'utiliser sereinement. J'ai lu sur différents sites qu'il y avait des failles de sécurité avec SMB v1, mais je n'arrive pas à en savoir plus.
Est-ce que les vulnérabilités ne se trouvent qu'au niveau des clients SMB v1 ?
Est-ce que le simple fait de faire tourner un serveur SMB v1 offre aussi une faille ?
Est-ce que ça ne concerne que le client SMB v1 de Windows, ou tous les clients SMB v1, peu importe la plateforme ?

Merci !

 

[AccroPC2]

Bonjour,

Il y a en effet des failles de sécurité, cela concerne le client comme les serveurs. Des inconnues pourraient prendre le contrôle de ton PC. Après tout dépend de ton réseau et comment il est protégé. Ensuite n'oublie pas que tu ne présentes aucun intérêt pour des hackers professionnels.

Bye

 

[quityourbitching]

OK, ça veut dire que c'est vulnérable pour des attaques ciblées seulement ? Au niveau du firewall du routeur, je filtre les adresse MAC pour les connexions wifi... ça suffit ?

 

[magellan]

OK, ça veut dire que c'est vulnérable pour des attaques ciblées seulement ? Au niveau du firewall du routeur, je filtre les adresse MAC pour les connexions wifi... ça suffit ?

C'est autrement plus complexe. Te faire un rapport complet... c'est difficile voire impossible. Pour donner une vue très simplifiée et vulgarisée, tu as en gros deux types d'attaques possibles
- De l'extérieur
- De l'intérieur ("man in the middle")

De là, dans les deux cas, cela s'adosse à plusieurs types de failles
- Failles techniques (trous de sécurité plus ou moins exploitables)
- Failles humaines (mots de passes insuffisamment durs, mdp collés sur un post-it/excel...)
- Failles sociales (utilisées par téléphone/mail pour piquer les id/mdp des utilisateurs)
- Le phishing (qui revient à la faille sociale)
- Les backdoors sciemment installées pour piquer de la donnée

Donc .. ensuite de là selon le mode d'attaque, il faut bien raisonner comme suit:
- Rien n'est parfait
- Les failles connues sont majoritairement rebouchées
- Les failles encore exploitées ("0-day") sont cachées et utilisées à outrance pour voler de l'information
- Les utilisateurs oublient souvent d'être prudents
- Bien des gens sont présomptueux concernant la sécurité et "oublient" de bétonner certaines choses fondamentales
- Tout est une source potentielle de piratage

Concernant ce dernier point:
- Les objets connectés sont des portes ouvertes car majoritairement les gens ne modifient rien (id/mot de passe). C'est le cas avec n'importe quel produit
- Certains de ces produits sont même sciemment ouverts pour transmettre de l'information (cas connu des cam IP qui envoient du stream à destination de la Chine)
- Les imprimantes Wifi peuvent être des portes ouvertes si elles sont mal configurées
- Tout produit qui se connecte au net peut être une ouverture.

Il ne faut pas de concentrer sur un protocole spécifique. ça ne suffit pas. C'est une démarche globale à réfléchir.

Pour finir ce petit laïus très léger et approximatif, tout est une porte ouverte car tout peut avoir une faille. @AccroPC2 le dit très bien: tu n'intéresses pas les pirates sauf via les ransomwares qui sont là pour te faire les poches. Le bon sens voudra que tu ne fasses pas n'importe quoi en exécutant des cochonneries trainant sur la toile.

NOTA: le filtre sur Mac est "bien" uniquement si tu considères que ton périmètre de machines ne varie pas. C'est dangereux car à terme si un PC rend l'âme, l'adresse Mac de la nouvelle machine sera différente... donc forcément "exclue". Pire: il y a des méthodes plus ou moins complexes pour envoyer une fake mac-address pour contourner de telles sécurités. Mais là, ça sous entend avoir une des adresses autorisées... ce qui n'est pas simple loin de là.