L’Internet des Objets
23.2 Protégez vous des moustiques
Nous avons déjà vu que la ligne de commande offre à tous les processus sur le serveur le couple login, mot de passe. Les implémentations en python, C ou autre permettent de masquer cette information. En C, une méthode classique, utilisée par ipmitool par exemple, consiste à utiliser une variable d’environnement pour masquer le mot de passe.
Dans les exemples, ci-dessus, les informations passent en clair sur le réseau. Elles sont donc accessible à tcpdump. Il est possible d’utiliser un chiffrement reposant sur TLS.
Une autre vulnérabilité du protocole, c’est que tout client autorisé à se connecter à accès à tous les topics. En plus, l’utilisation du caractère * permet d’écouter des topics inconnus.