Le service ou protocole UPnP (universal plug and play) est un protocole qui permet aux dispositifs d'un même réseau de se découvrir mutuellement, de se connecter et d'interagir les uns avec les autres. Voici quelques exemples de dispositifs faisant appel au service UPnP :
- les appareils mobiles;
- les dispositifs intelligents (comme les haut-parleurs, les télévisions et les caméras);
- les ordinateurs;
- les systèmes de jeu;
- les imprimantes;
- les dispositifs Wi-Fi;
- les routeurs.
Bien que les services UPnP puissent s'avérer utiles pour automatiser la connectivité des dispositifs, ils peuvent également vous exposer à plusieurs risques liés à la sécurité. Il est donc recommandé de désactiver le service UPnP, en particulier sur les dispositifs périphériques comme les routeurs domestiques qui gèrent les pare-feu, les commutateurs et les points d'accès Wi-Fi pour d'autres appareils connectés. Avant de désactiver le service UPnP, il convient de déterminer le niveau de sécurité nécessaire à vos dispositifs, car certains ont besoin du service pour fonctionner adéquatement.
Sur cette page
- Comment utiliser le service UPnP
- Risques connexes
- Comment sécuriser vos dispositifs
- Comment désactiver le service UPnP sur un routeur domestique
- Renseignements supplémentaires
Comment utiliser le service UPnP
On utilise le service UPnP pour connecter facilement des dispositifs dans un réseau local. Il permet de connecter automatiquement les dispositifs intelligents, les consoles de jeu, les ordinateurs, les dispositifs de diffusion multimédia en continu et la commande à distance d'appareil. Le service UPnP permet aux dispositifs compatibles d'interagir entre eux et de fonctionner dans un même réseau pour plus de polyvalence et de commodité. Voici certains exemples des façons dont le service UPnP est utilisé.
Dispositifs intelligents
Les dispositifs intelligents utilisent le service UPnP pour communiquer entre eux, ce qui leur permet d'ajuster automatiquement les paramètres ou de changer leur environnement en fonction des actions des autres dispositifs. Par exemple, une ampoule intelligente qui change de couleur ou d'intensité lorsqu'un thermostat intelligent connecté détecte un changement de température.
Consoles de jeu et ordinateurs
Les consoles de jeu peuvent se découvrir mutuellement et se connecter les unes aux autres pour tenir des sessions multijoueurs et échanger du contenu en temps réel.
Diffusion multimédia en continu
Les dispositifs qui prennent en charge la diffusion multimédia en continu peuvent partager des vidéos, de la musique et des photos et les diffuser sur d'autres dispositifs compatibles avec le service UPnP.
Accès à distance
Vous pouvez utiliser la commande à distance d'appareil depuis un téléphone intelligent ou un ordinateur pour contrôler les actions ou les paramètres de dispositifs prenant en charge le service UPnP. Par exemple, le service UPnP peut être utilisé pour verrouiller ou déverrouiller à distance la serrure intelligente de votre domicile.
Risques connexes
Bien que les dispositifs compatibles avec le service UPnP soient commodes, ils posent également des risques liés à la sécurité, car ils sont souvent utilisés avec des contrôles d'authentification ou d'accès minimaux. Par conséquent, les dispositifs et les réseaux qui utilisent le service UPnP peuvent être exposés à plusieurs menaces courantes susceptibles de compromettre la sécurité et la confidentialité.
Maliciels
Des auteurs de menace peuvent compromettre des dispositifs compatibles avec le service UPnP au moyen de maliciels. Ils peuvent, entre autres, mener des attaques par déni de service distribué (DDoS pour Distribué (Distributed Denial of Service) pour configurer les dispositifs UPnP de manière à pouvoir y accéder et les utiliser pour recevoir et envoyer des données.
Accès non autorisé
Tout dispositif UPnP connecté à un réseau commun peut être compromis par une personne qui réussit à obtenir l'accès à ce réseau. Il pourrait s'agir d'un auteur de menace qui exploite un dispositif connecté au réseau ou d'une utilisatrice locale qui a accès à un appareil connecté (par exemple, une menace interne).
Les dispositifs ayant recours au service UPnP qui se trouvent sur un réseau peuvent être compromis de deux principales façons :
- les menaces externes – les attaquantes et attaquants qui obtiennent un accès non autorisé à votre réseau (par exemple, en exploitant un dispositif vulnérable) peuvent cibler les dispositifs compatibles avec le service UPnP pour manipuler les paramètres du dispositif, intercepter les communications ou installer des maliciels;
- les menaces internes – les personnes disposant d'un accès légitime au réseau local peuvent trafiquer les dispositifs connectés au service UPnP ou en faire une utilisation abusive, comme reconfigurer les dispositifs, accéder à des données sensibles ou affaiblir intentionnellement la sécurité du réseau.
Configuration réseau
Le service UPnP permet de contrôler les paramètres de configuration réseau, comme la redirection de port, dont les auteurs de menace peuvent tirer avantage pour contourner les pare-feu, changer les listes d'accès ou modifier les mesures de sécurité. Il est ainsi plus difficile de détecter et de bloquer le trafic malveillant. Les auteurs de menace peuvent également utiliser un dispositif connecté au service UPnP pour manipuler la configuration réseau afin d'exposer les détails d'administration Web des routeurs, de rediriger le trafic vers des serveurs externes malveillants, de modifier les justificatifs d'identité et de contrôler les connexions internes et les activités des dispositifs.
Partage de données
Les dispositifs UPnP connectés partagent des données qui leur permettent d'interagir et d'effectuer certaines activités. Cela peut poser un risque d'atteinte à la vie privée si des dispositifs traitant de l'information sensible se connectent à d'autres dispositifs sur le réseau et s'échangent des données.
Comment sécuriser vos dispositifs
La façon la plus efficace de se protéger contre les attaques liées au service UPnP est de désactiver le service dans son intégralité. S'il n'est pas possible de désactiver le service UPnP, vous pouvez limiter les vulnérabilités qui touchent votre réseau en faisant ce qui suit :
- restreindre l'accès du service UPnP en créant un réseau local virtuel (VLAN pour Virtual Local Area Network) ou une zone réseau distincte pour isoler les dispositifs compatibles avec le service UPnP des autres dispositifs sur votre réseau;
- mettre à jour les dispositifs régulièrement et activer les mises à jour automatiques dans la mesure du possible pour faire en sorte que les auteurs de menace ne puissent pas prendre le contrôle de vos dispositifs et exploiter les protocoles UPnP à des fins malveillantes;
- journaliser et surveiller régulièrement les activités des dispositifs pour relever les irrégularités et les menaces potentielles;
- vérifier régulièrement les paramètres de sécurité et les règles de redirection de port de votre routeur et de tout autre périphérique réseau en votre possession;
- rester au courant des nouvelles technologies et menaces émergentes en consultant les ressources et les publications du Centre pour la cybersécurité;
- former les employées et employés et les sensibiliser aux pratiques exemplaires en matière de cybersécurité pour les aider à reconnaître, à comprendre et à gérer les menaces potentielles qui pèsent sur vos systèmes;
- utiliser les outils et les services de l'Autorité canadienne pour les enregistrements Internet (CIRA pour Canadian Internet Registry Authority) pour renforcer votre sécurité si votre routeur doit faire appel au service UPnP.
Comment désactiver le service UPnP sur un routeur domestique
Les étapes nécessaires pour désactiver le service UPnP sur votre routeur domestique varieront selon la marque et le modèle du routeur. En règle générale, vous devriez suivre ces trois étapes :
- se connecter à la page d'administration ou de configuration du routeur;
- sélectionner les paramètres du service UPnP, qui se trouvent souvent sous les options « avancées » ou « redirection NAT »;
- sélectionner l'option « désactiver le service UPnP ».
Si vous décidez ne pas désactiver le service UPnP sur votre routeur domestique, vous pouvez bloquer les ports associés à ce service sur la passerelle Internet. Il sera ainsi possible d'éviter que des dispositifs externes n'accèdent aux dispositifs internes au moyen du service UPnP.
Renseignements supplémentaires
- Facteurs relatifs à la sécurité à considérer pour les assistants numériques à commande vocale (ITSAP.70.013)
- Protéger votre organisation contre les maliciels (ITSAP.00.057)
- Application des mises à jour sur les dispositifs (ITSAP.10.096)
- Journalisation et surveillance de la sécurité de réseau (ITSAP.80.085)
- Sécurité de l'Internet des objets (IdO) (ITSAP.00.012)
- Prévenir les attaques par déni de service distribué et s'y préparer (ITSAP.80.110)
- La cybersécurité à la maison et au bureau – Sécuriser vos dispositifs, vos ordinateurs et vos réseaux (ITSAP.00.007)
- Offrir aux employés une formation sur mesure en cybersécurité (ITSAP.10.093)