Les créateurs de l'appareil portable
Nomx pour 200 $ ne
lésinent pas sur les épithètes. Ils déclarent "le protocole de communication le plus sécurisé au monde". Le gadget fournit soi-disant «une confidentialité absolue des messages personnels et commerciaux». Les commerçants jouent avec succès sur les craintes des utilisateurs de pirater les services de messagerie dans le cloud, car
aucun fournisseur de messagerie majeur n'a pu se passer d'une fuite de compte massive ces dernières années. Ils sont vraiment piratés en permanence. Il est très important pour de nombreux utilisateurs d'assurer la sécurité du courrier personnel - et ils regardent le serveur de messagerie domestique Nomx. «Le nombre de comptes Gmail compromis aux USA (depuis 2014): de
5 millions à
24 millions . Le nombre de comptes compromis sur d'autres services cloud en 2016:
272 millions Le nombre de comptes Yahoo (courrier compris) compromis en 2013-2016:
plus d'un milliard . Le nombre de comptes Nomx qui ont été compromis depuis la sortie de l'appareil: 0 ".
Telle est la publicité. Les hommes d'affaires peuvent désormais remplacer en toute sécurité le zéro dans cette publicité par un signe d'unité ou d'infini. En fait, il s'est avéré que la sécurité du serveur de messagerie, pour ne pas dire plus, était exagérée. Autrement dit, il n'y a pratiquement aucune protection.
Le spécialiste de la sécurité Scott Helme était l'une des personnes invitées à analyser le système de sécurité Nomx dans le
programme télévisé
BBC Click . La société a alloué deux copies de l'appareil annoncé à ce programme, dans l'espoir d'obtenir gratuitement des relations publiques. Mais ça n'a pas marché.
Scott Helme a
déclaré que le «protocole de communication le plus sécurisé au monde» est en fait un trou solide.
L'ouverture de la «boîte» a montré qu'elle était à moitié vide. Dans le coin de la grande boîte se trouve une carte Raspberry Pi d'une valeur de plusieurs dizaines de dollars.
Bien sûr, vous pouvez facilement obtenir la carte flash du Raspberry Pi - et faire une copie de la boîte aux lettres. Curieusement, le système Raspbian a des paramètres par défaut, et changer le mot de passe pour la racine n'est pas non plus difficile.
L'approche générale des développeurs en matière de sécurité est alarmante: d'anciens logiciels sont installés dans le système:
- Raspbian GNU / Linux 7 (wheezy) - dernière mise à jour le 7 mai 2015
- nginx: nginx / 1.2.1 - publié le 5 juin 2012
- PHP 5.4.45-0 + deb7u5 - publié le 3 septembre 2015
- OpenSSL 1.0.1t daté du 3 mai 2016
- Dovecot 2.1.7 daté du 29 mai 2012
- Postfix 2.9.6 du 4 février 2013
- MySQL Ver 14.14 Distrib 5.5.52 daté du 6 septembre 2016
C'est très étrange, car l'appareil doit avoir été assemblé relativement récemment.
Scott Helme a ensuite découvert un certain nombre de vulnérabilités dans l'application Web Nomx.
Le hachage du mot de passe principal (mot de passe de configuration) est facilement déchiffré, et la longueur minimale du mot de passe dans l'appareil est de 5 caractères, il a donc pu facilement déterminer le mot de passe principal.
Pour une raison quelconque, l'appareil ne prend en charge l'installation d'un serveur de messagerie sur un nouveau domaine que s'il est acheté auprès d'un registraire GoDaddy.
Plus un spécialiste comprenait cet appareil, plus il ressemblait à une sorte de faux. Par exemple, lors de l'établissement d'une «poignée de main» et d'une connexion directe entre deux serveurs Nomx,
aucun trafic n'a été enregistré
du tout sur le réseau.
Les tests de l'application Web Nomx ont révélé de nombreuses vulnérabilités XSS et CSRF. Un attaquant peut facilement créer et supprimer des boîtes aux lettres, ajouter des domaines et faire presque n'importe quoi sur le serveur de messagerie de la victime.
Une nouvelle boîte aux lettres est créée avec cette demande:
POST http://192.168.1.102/create-mailbox.php?domain=testingnomxsecurity.com HTTP/1.1 Host: 192.168.1.102 Cookie: PHPSESSID=39r4bb36385te1seds0dgtpt87 Content-Type: application/x-www-form-urlencoded Content-Length: 127 fUsername=csrf&fDomain=testingnomxsecurity.com&fPassword=csrf&fPassword2=csrf&fName=csrf&fActive=on&fMail=on&submit=Add+Mailbox
De plus, un compte administrateur tiers a été trouvé sur l'appareil que Scott n'a pas créé, et même avec le mot de
password du mot de
password . Ce compte donne un contrôle total sur l'appareil. De plus, en utilisant CSRF via une application Web, vous pouvez créer votre propre compte administrateur sur le serveur.
Scott Helme conclut que les publicités Nomx et l'appareil lui-même
doivent être considérés comme des fraudes . Cette «boîte» sur le Raspberry Pi ne fournit
aucune sécurité. Il sert simplement à retirer de l'argent à des utilisateurs intimidés et à des bêtises inutiles. Le fondateur, directeur exécutif et directeur technique de la société, Will Donaldson, assiste à des conférences et déclare que Nomx est «absolument sûr».
Le pirate informatique a averti Donaldson des vulnérabilités il y a un mois et les lui a montrées visuellement lors d'un appel Skype. Mais il n'a même pas levé le petit doigt pour corriger la situation ou du moins avertir les utilisateurs.
La société Nomx sur le site officiel a particulièrement reconnu le piratage de son appareil. Une note sur le blog officiel est intitulée: "
Nomx a réussi les tests de sécurité après qu'un blogueur a annoncé une pénétration de Nomx ." La société a déclaré qu'il ne s'agissait que de copies de démonstration qui ont été remises aux journalistes et que, dans le "vrai" Nomx, ils refuseraient d'utiliser le Raspberry Pi. Ils vont probablement utiliser une configuration plus sécurisée, de nouveaux logiciels avec tous les correctifs (au moins introduire un système de mise à jour), et ils doivent éliminer la vulnérabilité sur la page Web en question. Après avoir éliminé tous les bogues et réduit considérablement le prix, le serveur de messagerie Nomx aura peut-être des perspectives en tant que produit à succès commercial, bien qu'il soit peu probable que quelque chose de valable puisse être caché de ce faux.
En utilisant Nomx comme exemple, nous voyons comment une bonne idée et la bonne direction des pensées (organiser un serveur de messagerie personnel sécurisé à la maison) sont très mal mises en œuvre dans la pratique. Et ce n'est même pas pour mentionner le coût hors de prix de l'appareil. Donaldson devra faire le travail des erreurs, et il est peu probable qu'il ose déclarer "le protocole de communication le plus sécurisé au monde".