UPnP : un ami qui vous veut du bien… ou pas !

L’UPnP (Universal Plug and Play) a fait couler beaucoup d’encre ces derniers mois, notamment pour nos NAS. Si à l’origine le protocole a pour objectif de faciliter la vie des utilisateurs, il peut également faire beaucoup de tort. Activé par défaut, l’UPnP facilite la propagation de virus et les attaques de personnes mal-attentionnées. Explications…

UPnP facilite la vie, mais…

L’UPnP signifie Universal Plug and Play. Il s’agit d’un protocole réseau dont l’objectif est de permettre à des périphériques de s’interconnecter facilement dans un réseau local (entreprise ou domicile). L’UPnP permet aux appareils de se découvrir mutuellement, de se connecter automatiquement et de communiquer ensemble. Il n’y a ni besoin d’authentification, ni d’autorisation pour fonctionner. Il est embarqué dans la très grande majorité des périphériques connectés : TV, téléphone, tablette, ordinateur, enceinte connectée, console, lecteur multimédia, lecteur Blu-Ray, routeur…

UPnP = danger

L’UPnP a pour objectif de faciliter la vie des utilisateurs… sauf qu’il peut aussi provoquer des dégâts. En effet, si un appareil est infecté par un malware, alors tout le réseau UPnP lui est accessible. Aussi, l’UPnP est intégré dans les routeurs et box opérateurs. Si l’on reste sur la partie réseau de votre Box, l’UPnP peut ouvrir un port sur Internet et le rediriger vers un autre appareil du réseau. Tout ceci dans l’objectif de vous simplifier la vie. Alors bien sûr, il ne va pas le faire de lui-même et c’est bien un périphérique qui en fera la demande. Certaines applications de votre téléphone Android ou iOS peuvent aussi ouvrir un port sur votre box (sans vous le demander) ad vitam aeternam, même si l’application est supprimée.

UPnP et NAS ?

Dans le cas des NAS, si vous n’y faites pas attention… ce dernier peut ouvrir un port et demander à votre box/routeur une redirection. Généralement, c’est à la suite de l’activation de la fonctionnalité par un utilisateur ou à travers une application. C’est bien l’UPnP et les ports par défaut qui ont été pointés du doigt lors des récentes attaques sur les NAS QNAP et ASUSTOR. Malheureusement, certains ont définitivement perdu leurs données. D’une manière générale, n’activez pas une fonctionnalité sans connaître son rôle exact.

Notre avis

Si nous devions être directs, sans prendre de pincette, nous pourrions dire que l’UPnP est une brèche de sécurité. Même s’il possède quelques avantages, il faut mettre également en balance tous les risques qu’il comporte. Nous vous recommandons de désactiver l’UPnP sur votre routeur/box et de vous servir des fonctionnalités d’ouverture de port/redirection manuellement au besoin. Si vous ne savez pas comment faire, n’hésitez pas à utiliser votre moteur de recherche préféré. Aussi, nous vous recommandons la plus grande prudence lorsque vous utilisez des fonctions d’accès rapide afin d’accéder à vos périphériques depuis l’extérieur.

  1. En mode Inconnu
    La livebox na nul besoin de l’Upnp pour faire fonctionner le décodeur TV
    Preuve chez moi pare-feu en mode élevée et Upnp désactiver tous fonctionnent meme les services de VOD
    Voila voilou 😉

    1. Exact même si chez moi je ne me sert partiquement plus du décodeur TV ; remplacer par une Schield

    2. Effectivement, je n’ai pas eu besoin de l’activer pour faire fonctionner le décodeur (cela date de 6 mois, je l’ai rendu en passant chez Sosh sans TV)

    3. À l’époque pas si lointaine où j’avais une livebox4, j’avais essayé de désactiver l’UPNP, et bien dès lors le décodeur TV ne pouvait plus avoir les flux TV…
      Ce test a été réalisé il y a facilement 2-3 ans…
      Depuis j’ai mis un routeur derrière la Livebox4, mis des switchs gérant les VLAN pour avoir le décodeur TV dans le réseau de la Livebox pour qu’il fonctionne, et avoir mon réseau via le routeur (oui installation un peu complexe car un seul câble entre la box/routeur et la TV…)
      Depuis ça à peut-être évolué avec les firmware… peut-être que l’upnp n’est plus nécessaire pour le décodeur TV…

    4. Heureux d’apprendre que la LiveBox a évoluée dans le bon sens… si maintenant on peut désactiver l’UPnP sans impact, c’est parfait. Je modifie l’article en conséquence.
      Merci 🙂

  2. A noter qu’avec l’IP V6 il n’y a même pas besoin de l’upnp pour donner accès à la machine (les offres internet adressées aux particuliers ne contiennent pas de Firewall).

    1. Pour les autres je ne sais pas, mais la Livebox 4 ( Sosh ) et la Freebox Pop possède un Firewall IPV6

      1. Ma freebox Revolution permet en effet de bloquer les flux entrants ipv6 (c’est un peu tout ou rien et non paramétrable malheureusement contrairement à la freebox pro)

  3. La Freebox Révolution date de 2010. La Freebox Pop est de 2020. Petite mais costaud 😉 Steve Jobs aurait dit elle est sexy …

  4. C’est du n’importe quoi cette histoire de désactivé a tout vent upnp, car vous ne savez même pas comme est configuré le réseau après votre box opérateur côté FAI.
    Je vous signal qu’il y’a plusieurs sorte de configuration de réseaux possible.
    Il existe : CG-NAT si vous êtes en ip partagé, donc une ip partagée entre plusieurs voisins ou chacun a sa plage de ports réservés.
    Eh bien amusez vous a désactiver upnp igd dans ce cas précis et vos voisins auront accés libre a votre pc et son disque dur et a tout votre réseau car vous serez en mode « ouvert ».
    UPNP IGD activé = NAT modérée (sécurité réseau activée) et UPNP IGD désactivé = NAT ouverte
    (mode jeu pour gaming) .
    Après chaqun fait ce qu’il veut mais si les opérateurs on activés UPNP de base dans la box ce n’est pas pour rien et si vous vous fiez a a des anciens tutos qui disaient de désactiver upnp c’été avant car dans le temps il y’a eu des failles qui depuis ont été corrigées voila tout.
    Si vous tenez un minimum a votre sécurité laissez UPNP IGD activé voila.

  5. Oh oh oh , il vous faut retourner a l’université, et arrêter de miner des « bitcoins » ! (hi hi hi ) :

    UPnP utilise le protocole Internet Gateway Device (en) (IGD) pour la traduction des adresses réseaux (NAT traversal). Cette traduction permet aux paquets UPnP de passer à travers un routeur ou un pare-feu sans problème et sans interaction de l’utilisateur (si le routeur ou le pare-feu supporte NAT).

    DONC UPNP IGD EXISTE BIEN, L’AUTRE ETANT UPNP AV

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.