La Federal Trade Commission américain a annoncé qu’elle traduisait D-Link devant la cour de justice de l’Etat de Californie pour « ses échecs à prendre les mesures nécessaires pour sécuriser les routeurs et caméras IP conçus pour, commercialisés et vendus aux consommateurs des Etats-Unis ». Parmi les griefs formulés par le régulateur à l’encontre du fabricant de matériel sans fil figurent des identifiants de connexion codés en dur dans certaines caméras, l’existence de portes dérobées permettant aux hackers d’accéder aux flux vidéos des caméras, les vulnérabilités de certains routeurs aux attaques SQL, la mauvaise gestion de la clé privée utilisée pour signer ses logiciels et exposée sur le site pendant « plus de six mois » sur un site public.
La FTC rappelle que certaines de ces failles ont été utilisées par les pirates pour développer le botnet IoT Mirai à l’origine de plusieurs attaques DDOS à l’automne dernier. Une de ces attaques avait notamment visé l’hébergeur français OVH. Le code source de Mirai avait été publié en octobre dernier sur plusieurs forums de hackers.
En engageant des poursuites contre le fabricant taïwanais, la commission lance un coup de semonce aux autres constructeurs afin qu’ils développent des mesures de sécurité dignes de ce nom.