Qu’est-ce que l’UPnP (Universal Plug and Play) et est-ce sécurisé ?

Très pratique, l’UPnP facilite la connexion de vos appareils numériques à votre réseau domestique. Il vous suffit de brancher votre nouvel appareil et le tour est joué. Mais est-ce bien sécurisé? Faut-il ou non activer l’UPnP ? Lisez la suite pour tout savoir sur comment renforcer la protection de vos appareils contre les menaces en ligne avec Avira Free Security. 

Qu’est-ce que l’UPnP et à quoi sert-il ?  

L’UPnP est un concept que vous avez probablement déjà rencontré. Grâce à cette technologie, vous pouvez simplement connecter des périphériques tels qu’une souris, un clavier ou un disque dur externe à votre ordinateur et commencer à les utiliser de suite sans avoir à configurer des paramètres ou à installer des pilotes de périphériques.  

L’UPnP va plus loin que le modèle des périphériques « plug and play » en l’étendant à l’ensemble de l’environnement réseau pour faciliter la connexion numérique des appareils dans un réseau domestique. Ce protocole a été développé par l’UPnP Implementers Corporation (UPnP-IC) pour permettre la configuration et la communication automatiques des périphériques de réseau dans une infrastructure de réseau, et a été introduit à l’origine par Microsoft.  

Grâce à l’UPnP, il n’est pas nécessaire d’attribuer manuellement des adresses IP aux appareils ou de configurer un transfert de port sur le routeur pour accéder à Internet. Les périphériques UPnP comprennent les imprimantes, les caméras IP, les périphériques audio, les routeurs tels que la FritzBox, les consoles de jeux vidéo telles que la Xbox, ainsi que les appareils électroménagers et les téléviseurs intelligents.  

Grâce à l’UPnP, ces appareils peuvent s’identifier automatiquement, partager leurs services et leurs fichiers, communiquer et interagir les uns avec les autres. Tout ce dont un appareil a besoin, c’est d’une adresse IP privée à des fins d’identification et d’un protocole UPnP mis en œuvre à des fins de communication. Le protocole UPnP est basé sur un ensemble de protocoles réseau normalisés, de procédures et de formats de fichiers qui permettent la configuration automatique et l’interopérabilité transparente des appareils dans un réseau IP. 

Par exemple :  

• Le protocole IP (IP) pour l’adressage et l’acheminement des paquets de données 
• Le Simple Service Discovery Protocol (SSDP) pour identifier et découvrir les appareils et les services et pour afficher leur état et leur disponibilité  
• Le Simple Object Access Protocol (SOAP) pour la communication entre les appareils 
• Le langage de balisage extensible (Extensible Markup Language) (XML) pour décrire les appareils et leurs services  
• Le protocole HTTP pour transmettre les messages de contrôle  
• Le Transmission Control Protocol (TCP) pour le transfert de données  
• Le protocole User Datagram Protocol (UDP) pour la transmission de données (principalement pour la communication multicast, où les messages sont envoyés à plusieurs appareils simultanément, par exemple pour annoncer la disponibilité de services ou pour communiquer des événements) 

Outre ces protocoles, divers supports de transport peuvent être utilisés pour établir la connexion entre les appareils, comme Ethernet, la radio (Bluetooth et Wi-Fi) et FireWire. 

Le terme « universal » dans Universal Plug and Play fait référence non seulement aux technologies basées sur Internet, mais aussi à l’indépendance de la technologie UPnP par rapport au support, à l’appareil, à la plateforme et au fabricant. En 2003, 250 fabricants ont uni leurs forces au sein de la Digital Living Network Alliance (DLNA) afin de permettre aux appareils multimédias des réseaux domestiques de communiquer entre eux et de partager du contenu. Certaines normes minimales ont été établies à cet effet, notamment l’UPnP, dont la DLNA est issu. Ainsi, les termes UPnP et DLNA sont parfois utilisés l’un pour l’autre. Depuis la dissolution de l’association en 2017, l’entreprise qui lui a succédé, SpireSpark, délivre désormais des certificats DLNA.  

Comment fonctionne l’UPnP ?  

Les appareils et les applications UPnP peuvent être divisés en deux catégories : Points de contrôle et appareils de contrôle. Lorsqu’un appareil de contrôle fournit des services, un point de contrôle y accède et lui donne des instructions. En principe, un appareil peut fonctionner à la fois comme point de contrôle et comme appareil de contrôle. Cela signifie qu’un ordinateur, par exemple, peut servir de point de contrôle pour une imprimante et lui envoyer un travail d’impression et, en même temps, servir de dispositif de contrôle pour un lecteur multimédia en lui fournissant du contenu.  

Si l’on examine la situation sous l’angle du modèle client-serveur ​traditionnel​, dans le premier cas, l’ordinateur agit comme un client UPnP qui utilise les services de l’imprimante. Dans le second cas, il agit comme un serveur UPnP qui fournit un contenu multimédia auquel un autre client UPnP peut accéder et qu’il peut lire.  

UPnP AV (Universal Plug and Play Audio/Video) est une extension du protocole UPnP spécialement développée pour la mise en réseau et le contrôle des appareils audio et vidéo. Dans ce cas, les points de contrôle sont appelés « renderers » (dispositifs de lecture) et les dispositifs contrôlés sont appelés « media servers » (sources de données). Le point de contrôle optionnel relie les deux et sert d’interface de contrôle centrale, comme une application pour smartphone ou un assistant domestique intelligent tel qu’Amazon Echo.   

Voici les 6 étapes principales du processus UPnP : 

1. Adressage : Un nouvel appareil rejoint le réseau et se voit attribuer une adresse IP. 
2. Détection : L’appareil UPnP s’identifie auprès des autres appareils du réseau à l’aide de cette adresse IP et d’autres informations de base (telles que le nom de l’appareil, le type d’appareil et l’URL de ce dernier). Il peut désormais découvrir et localiser l’appareil. 
3. Description : Les autres appareils utilisent des URL spécifiques contenus dans le fichier de description du nouvel appareil pour récupérer d’autres informations pertinentes, telles que les capacités et les services offerts ou recherchés. Ils peuvent désormais interagir avec lui et accéder aux fonctions et services du nouvel appareil ou accepter des demandes de sa part. 
4. Contrôle : En transmettant des messages de contrôle, les appareils UPnP peuvent communiquer entre eux et envoyer et recevoir des instructions pour effectuer certaines actions. 
5. Création d’événement : Pour éviter d’avoir à demander constamment l’état des autres appareils, ceux-ci peuvent s’abonner à des notifications d’événements. De cette manière, ils seront automatiquement informés lorsque leurs services seront requis.  
6. Présentation : En guise d’alternative aux étapes de contrôle et de notification d’événements, les appareils peuvent également récupérer les informations requises sur un autre appareil via une URL de présentation et les utiliser pour communiquer avec ​ce dernier​. Outre l’accès par l’UPnP, un point de contrôle peut récupérer une page à partir de cette URL, la charger dans un navigateur web et afficher une autre interface utilisateur. 

Appareils et applications compatibles avec l’UPnP 

Les appareils et les applications compatibles réseau qui prennent en charge le protocole UPnP sont les suivants : 

• Routeurs : Les routeurs UPnP tels que la FritzBox prennent en charge le transfert automatique des ports et permettent aux appareils du réseau d’ouvrir indépendamment des ports pour accéder à certains services Internet. 
• Appareils de lecture et de streaming : Ces appareils peuvent récupérer du contenu multimédia local à partir d’un serveur UPnP ou diffuser du contenu à partir d’un service en ligne et le lire sur un écran ou un système audio connecté. Il s’agit notamment des lecteurs multimédias, des lecteurs Blu-ray, des Smart Tvs, des décodeurs TV et des clés USB. 
• Enceintes connectées : Les enceintes connectées comme Amazon Echo et Google Home peuvent utiliser l’UPnP pour lire de la musique à partir d’un serveur UPnP sur le réseau, accéder à des appareils IoT (Internet des Objets) et contrôler diverses fonctions de la maison connectée. 
• Appareils de la maison connectée : Ces appareils sont également appelés Appareils IoT et sont dotés de fonctions intelligentes. Outre les Smart Tvs et les enceintes intelligentes, on retrouve également des dispositifs de surveillance et de contrôle à distance de la maison. 
• Consoles de jeux vidéos : Les consoles de jeux vidéo compatibles UPnP, comme la PlayStation, la Xbox ou la Nintendo Switch, offrent non seulement des services de jeu en ligne, mais peuvent également servir de centres multimédias et récupérer et lire du contenu multimédia à partir d’autres appareils sur le réseau.  
• Récepteurs AV et systèmes audio : Les récepteurs AV et les systèmes audio multi-pièces compatibles avec l’UPnP peuvent lire de la musique à partir de différentes sources sur le réseau. 
• Serveurs multimédia : Les serveurs UPnP peuvent diffuser des contenus multimédias sur le réseau et permettre à d’autres appareils d’y accéder. 
• Applications de lecteurs multimédia : Les applications compatibles avec l’UPnP telles que VLC Media Player peuvent récupérer et lire du contenu multimédia à partir d’un serveur UPnP sur le réseau.  

Diffusion en continu via des serveurs multimédia ou UPnP 

Pour accéder au contenu en streaming d’un autre appareil à l’aide d’appareils tels qu’un smartphone, une tablette, une console de jeux vidéo ou une smart TV, l’appareil doit agir en tant que serveur UPnP. En tant que serveur UPnP, l’appareil permet à d’autres appareils du réseau d’accéder à son contenu multimédia stocké, tel que des fichiers image, musique ou vidéo. Pour lire le contenu, les appareils d’accès ont besoin d’une fonction correspondante ou d’une application de lecture multimédia telle que VLC Media Player, également disponible pour les smartphones et les tablettes. 

Les ordinateurs Windows peuvent être transformés en serveur UPnP ou en serveur multimédia à l’aide de l’option Activer le streaming multimédia. À partir de la version 11, Windows Media Player intègre une fonction de serveur UPnP qui vous permet de partager des contenus multimédias sur le réseau. En revanche, Universal Media Server est un serveur UPnP indépendant de la plateforme et permet de lire le contenu d’ordinateurs Mac ou Linux sur des Smart Tvs, des smartphones ou tout autre appareil compatible UPnP. 

Quel est le degré de sécurité de l’UPnP ?  

Les avantages de l’UPnP sont évidents, mais qu’en est-il des inconvénients ? Malheureusement, il existe aussi des risques potentiels pour la sécurité, et l’utilisation de l’UPnP peut s’avérer dangereuse. La plus grande vulnérabilité réside dans le transfert automatique des ports, qui permet aux appareils d’ouvrir et de rediriger des ports de leur propre chef pour communiquer avec Internet. Les cybercriminels peuvent utiliser cette fonction pour obtenir un accès non autorisé et, par exemple, injecter malware comme ransomware ou Chevaux de Troie.  

Si un appareil est infecté par un malware, par exemple à la suite d’une attaque phishing ou d’une attaque sur le routeur, le malware peut également utiliser l’UPnP pour rechercher d’autres appareils vulnérables sur le réseau et les infecter à leur tour. Ces malwares y parviennent souvent en exploitant des failles de sécurité sur les appareils compatibles UPnP ou des failles dans la mise en œuvre de l’UPnP. Les appareils intelligents peuvent également être ajoutés à un botnet et utilisés à des fins de Attaques DDoS.  

Une fois que les cybercriminels accèdent au réseau, ils peuvent : 

• Configurer un transfert de port malveillant 
• Contrôler les appareils connectés 
• Accéder à distance aux appareils connectés au réseau 
• Injecter plus de malware 
• Voler des informations sensibles telles que des données personnelles ou des mots de passe 
• Utiliser les routeurs à leurs propres fins, par exemple en tant que serveurs proxy 
• Utiliser le réseau pour des attaques, par exemple pour créer un réseau de zombies 

 Comment activer ou désactiver l’UPnP 

Sur la plupart des routeurs, deux options de réglage sont pertinentes pour l’UPnP : Transfert automatique des ports et transmission d’informations sur l’état. Cependant, l’activation du transfert automatique des ports peut présenter un risque pour la sécurité et, dans la plupart des cas, n’est pas vraiment nécessaire.   

1. Transfert automatique des ports via l’UPnP 

Pour des raisons de sécurité, le transfert automatique des ports via l’UPnP est souvent ​désactivé par défaut ​ ; vous devez donc l’activer manuellement. Nous recommandons de ne l’activer qu’en cas de besoin pour des applications ou des appareils spécifiques.  

Vous pouvez activer ou désactiver le transfert automatique des ports sur les routeurs tels que la FritzBox dans le menu Internet sous Redirection des ports en cochant ou décochant la case en regard de l’option Autoriser la modification des paramètres de sécurité par l’UPnP.  

Si vous obtenez le message d’erreur Erreur d’UPnP sur votre Xbox ou une autre console de jeux vidéo, vous pouvez également vérifier via les paramètres ci-dessus si le transfert automatique des ports est activé sur votre routeur, et l’activer si nécessaire.  

Si, pour des raisons de sécurité, vous choisissez de désactiver le transfert automatique des ports par l’UPnP sur votre routeur, vous pouvez également configurer les transferts de ports manuellement, si nécessaire. Elles sont nécessaires pour les services qui doivent accéder à certains ports depuis l’extérieur du réseau, comme les applications pour les jeux en ligne ou les caméras de surveillance. 

Vous pouvez également configurer ce que l’on appelle un transfert des ports statique pour des services et des appareils individuels sur la FritzBox sous Transfert des ports. Sélectionnez ensuite l’appareil pour lequel vous souhaitez transférer les ports et saisissez les informations pertinentes (telles que le numéro de port et le protocole IP). 

Si vous ne souhaitez autoriser que certains appareils pour le transfert automatique des ports, vous pouvez le faire sous l’onglet Connexions réseau qui se trouve sur la FritzBox dans le menu Réseau d’accueil sous Réseau. Sélectionnez l’appareil souhaité et activez l’option Autoriser le transfert de port indépendant pour cet appareil. 

Les descriptions du menu de l’interface utilisateur peuvent varier en fonction du modèle de votre routeur. Certains routeurs, comme certains modèles de Vodafone, ne proposent même pas le transfert automatique des ports via l’UPnP, ou seulement de manière limitée.​     ​ 

2. Transmission d’informations sur l’état par l’UPnP  

Vous pouvez également activer ou désactiver la transmission des informations d’état nécessaires à la communication et à l’interaction via l’UPnP. L’option Transmettre des informations sur l’état via l’UPnP se trouve sur une FritzBox dans les paramètres réseau du menu Réseau accueil sous Réseau.  

Comment se protéger des attaques par l’UPnP ? 

Comme les ordinateurs, les routeurs sont dotés d’un pare-feu qui surveille le trafic réseau entrant et sortant et bloque les activités potentiellement malveillantes. Par conséquent, maintenez le pare-feu ou le micrologiciel de votre routeur à jour afin de combler les failles de sécurité. Désactivez également le transfert automatique des ports via l’UPnP et renforcez la sécurité de votre routeur en sélectionnant le chiffrement WPA2 et en modifiant le mot de passe par défaut de votre routeur. 

Il est également conseillé de veiller à ce que tous les autres appareils de votre réseau domestique soient à jour et protégés contre les malwares et autres menaces en ligne, que vous activiez ou non le protocole UPnP. Pour les ordinateurs, les solutions de cyberprotection multicouches telles que Avira Free Security sont parfaites pour cette tâche, car elles comprennent un gestionnaire de mises à jour et de nombreuses autres fonctions en plus de la protection contre les virus. Vous pouvez également améliorer la protection de vos appareils mobiles avec Avira Antivirus Security pour Android et Avira Mobile Security pour iOS. 

Cet article est également disponible en: AnglaisAllemandItalien