Les failles de sécurité des objets connectés domestiques

Pour tester les dispositifs intelligents afin de détecter les bugs, on a pris des dispositifs populaires de l’Internet des objets (IoT) tels que Google Chromecast (une clé USB pour la diffusion de vidéo en continu), une caméra IP, une cafetière intelligente et un système de sécurité domestique, tous pouvant être contrôlés à partir d’un smartphone ou d’une application mobile. Les modèles et les appareils ont été choisis au hasard et sans préférence pour des fabricants spécifiques.

L’ expérience a montré que TOUS ces dispositifs étaient piratables ou facilement compromis et contrôlés par le pirate. On a déjà signalé les vulnérabilités aux fabricants respectifs. En attendant, certains produits ont déjà été mis à jour, mais d’autres sont encore vulnérables.

Chromecast

Les développeurs de Google Chromecast ont négligé un bogue qui permet à un pirate informatique de diffuser son propre programme de télévision, cela peut aller de la publicité aux films d’horreur. Une fois qu’un agresseur sait comment pénétrer dans un appareil, il lui est facile de manipuler l’expérience de l’utilisateur. Et cela peut durer aussi longtemps que le hacker le souhaite, ou au moins jusqu’à ce que la victime achète une nouvelle clé USB ou utilise à nouveau la télévision par câble au lieu de Chromecast.

Si le pirate utilise une antenne directionnelle, il peut interrompre votre programme préféré à tout moment sans être à proximité. Il est donc difficile d’attraper le coupable. Cette faille de sécurité dans Chromecast existe depuis longtemps et n’est toujours pas comblée.

Caméra IP

La caméra IP qu’on a testé est en fait un baby phone qui peut être contrôlé par un smartphone. D’ailleurs, de tels dispositifs ont déjà été piratés en 2013 et sont toujours utilisés à mauvais escient. Le modèle que nous avons sélectionné a été produit en 2015, mais nous avons quand même trouvé quelques bugs.

En utilisant abusivement l’application standard pour babyphone, les pirates informatiques peuvent accéder aux adresses électroniques de tous les clients du fabricant. Grâce à cette vaste base de données, les auteurs peuvent ensuite lancer des attaques de phishing ciblées.

D’autres failles de sécurité ont permis à nos chercheurs de prendre le contrôle total de la caméra du babyphone : leur permettant de voir et d’entendre tout ce qui se passe dans la salle surveillée. Ils étaient les véritables utilisateurs de cette petite chose “intelligente”. Nous avons déjà signalé les vulnérabilités au fabricant et aidé à créer des correctifs.

Tasse de café

Eh bien, confondre la vie des utilisateurs avec le piratage de la clé USB ou du babyphone est relativement évident. Mais qu’en est-il de la machine à café ? En fait, cet appareil de cuisine est un bon moyen pour les pirates informatiques de vous espionner, car ils ne sont que trop heureux de vous transmettre votre mot de passe WLAN.

Étonnamment, la résolution du problème est un défi de taille, si bien que le fabricant n’a pas pu éliminer l’erreur jusqu’à présent. Mais l’affaire n’est pas aussi grave : les pirates ne disposent que de quelques minutes pour exploiter le bug. Cependant, le problème persiste même si vous changez le mot de passe du WLAN – la machine à café ne cesse de le donner.

Sécurité des maisons

Le système de sécurité domestique intelligent a également perdu la bataille. Curieusement, ce n’est pas l’ expertise technique qui  a aidé ici, mais la connaissance des principes physiques. Le système utilise des capteurs spéciaux pour surveiller le champ magnétique généré par un aimant intégré dans la serrure. Dès qu’un cambrioleur ouvre une fenêtre ou une porte, ce champ magnétique est perturbé et le capteur transmet l’alarme.

Mais avec un simple aimant, le champ magnétique de la serrure peut être maintenu même si la fenêtre ou la porte est ouverte. Ce problème est bien connu partout, car ces capteurs sont utilisés dans de nombreux systèmes de sécurité bien connus. Et un patch ne serait pas utile ici, il faudrait changer fondamentalement tout le système.

Du côté des logiciels, le système bloque toutes les attaques, et les cambrioleurs qui n’ont pas fait attention à la physique sont également repoussés.Le rapport détaillé de notre expérience et la communication avec les fabricants se trouvent sur Securelist.

Quelques conseils pour rendre votre maison plus sûre

Pour minimiser le risque et rendre votre maison plus sûre, nous avons quelques conseils à vous donner :

– Lorsque vous envisagez de simplifier certaines parties de votre vie avec des appareils “intelligents”, vous devez garder la sécurité à l’esprit. Vous avez beaucoup d’objets de valeur dans la maison ? Vous pouvez ensuite améliorer votre système de sécurité domestique en ajoutant un système d’alarme câblé traditionnel à votre système de protection contre les intrusions géré par téléphone intelligent. Vous souhaitez utiliser un appareil qui peut donner accès à la vie privée de toute votre famille (comme un baby phone) ? Sinon, il vaut mieux utiliser des modèles simples qui transmettent le son par radiofréquences plutôt que par un réseau IP.

– Si vous en voulez toujours plus, vous devez choisir vos appareils intelligents avec soin. Lisez les dernières critiques sur Internet avant d’acheter et recherchez des nouvelles sur les bogues et les correctifs.

– N’achetez pas le dernier modèle. Les appareils neufs présentent généralement des défauts qui n’ont pas encore été découverts. Achetez plutôt un appareil qui a déjà une bonne réputation.