L'abandon de vieux logiciels open source n'est pas sans conséquences. Microsoft révèle dans un billet de blog avoir détecté plusieurs attaques visant un composant de Boa, un logiciel de serveur abandonné en 2005. Celui-ci est toujours largement utilisé dans plusieurs gammes de routeurs et de caméras de sécurité, mais aussi par certains SDK populaires permettant de faire fonctionner des systèmes sur puce.
Les failles permettent un accès à des données très sensibles (comme des mots de passe), mais aussi d'exécuter du code non autorisé. La firme de Redmond s'est rendu compte de l'ampleur du problème en enquêtant sur des attaques visant des réseaux électriques indiens. Ces attaques ont tout particulièrement ciblé des dispositifs IoT exécutant Boa et étant donc soumis à des vulnérabilités critiques non corrigées.
Microsoft note qu'étant donné que plus personne ne développe Boa, ses failles connues peuvent permettre aux pirates de récolter discrètement de nombreuses données. Boa est souvent utilisé pour accéder aux consoles de configuration et de gestion ainsi qu'aux écrans de connexion des appareils.
Selon Microsoft, les risques liés à Boa pourraient concerner « des millions d'organisations et d'appareils ». Il ajoute qu'il est possible que les utilisateurs ne sachent pas que des composants de Boa sont utilisés par les produits et qu'ils disposent donc de failles ne pouvant être résolues par des mises à jour logicielles.
Résoudre le problème est compliqué : Boa reste très utilisé et se « cache » dans les équipements connectés. L'entreprise recommande aux fabricants et aux opérateurs réseau de patcher les engins vulnérables lorsque cela est possible et de faire en sorte de repérer les appareils pouvant être facilement détournés.
