Vidéo: Idriss, expert en sécurité informatique pirate le téléphone portable des chroniqueurs en direct (Novembre 2024)
La domotique est tellement cool. Vous n'avez pas à vous inquiéter d'avoir laissé la cafetière allumée ou d'avoir oublié de fermer la porte du garage; vous pouvez vérifier la maison et résoudre tous les problèmes, peu importe où vous vous trouvez. Mais que se passe-t-il si un cyber-escroc parvient à prendre le contrôle du système? Les chercheurs d'IOActive ont découvert un ensemble de défauts dans un système domotique populaire, défauts qu'un criminel pourrait facilement utiliser pour prendre le relais.
Le système domotique WeMo de Belkin utilise le Wi-Fi et l’Internet mobile pour contrôler pratiquement tous les types d’électronique domestique. Les vulnérabilités découvertes par l'équipe d'IOActive laisseraient un attaquant contrôler à distance tous les périphériques connectés, mettre à jour le micrologiciel avec sa propre version (malveillante), surveiller à distance certains périphériques et éventuellement obtenir un accès complet au réseau domestique.
Potentiel de problème
Une vaste gamme d'appareils WeMo sont disponibles. Vous pouvez obtenir des ampoules LED WeMo, des interrupteurs d'éclairage offrant à la fois un contrôle à distance et une surveillance de l'utilisation, ainsi que des prises à télécommande. Moniteurs pour bébé, capteurs de mouvement, il y a même une cocotte mijoteuse télécommandée en chantier. Ils se connectent tous via WiFi et ne doivent communiquer qu'avec des utilisateurs légitimes.
Les chercheurs ont souligné qu’un escroc ayant accès à votre réseau WeMo pouvait tout allumer, ce qui entraînerait un gaspillage d’électricité, un circuit frit et, éventuellement, un incendie. Une fois le système WeMo installé, un pirate informatique intelligent pourrait transformer cette connexion en un accès complet au réseau domestique. D'un autre côté, les fonctionnalités du moniteur pour bébé et du capteur de mouvement indiqueront s'il y a quelqu'un à la maison. Une maison inoccupée est une cible dandy pour un cambriolage réel.
Comédie des Erreurs
Les vulnérabilités trouvées dans le système sont presque risibles. Le micrologiciel est signé numériquement, true, mais la clé de signature et le mot de passe se trouvent directement dans l'appareil. Les attaquants pourraient remplacer le firmware sans déclencher de contrôles de sécurité, simplement en utilisant la même clé pour signer leur version illicite.
Les appareils ne valident pas les certificats SSL (Secure Socket Layer) utilisés lors de la connexion au service cloud Belkin. Cela signifie qu'un cyber-escroc pourrait utiliser n'importe quel certificat SSL aléatoire pour imiter le vaisseau mère Belkin. Les chercheurs ont également découvert des vulnérabilités dans le protocole de communication inter-périphériques, de telle sorte qu'un attaquant pourrait prendre le contrôle même sans remplacer le microprogramme. Et (surprise!), Ils ont trouvé une vulnérabilité dans l'API Belkin qui donnerait à un attaquant un contrôle total.
Que faire?
Vous vous demandez peut-être pourquoi IOActive rend publiques ces révélations dangereuses? Pourquoi ne sont-ils pas allés à Belkin? En fait, ils l'ont fait. Ils n'ont simplement reçu aucune réponse.
Si vous comptez environ un demi-million d'utilisateurs WeMo, IOActive vous conseille de déconnecter immédiatement tous vos appareils. Cela peut sembler un peu drastique, mais compte tenu de la gravité des failles de sécurité, du potentiel d'exploitation et du peu d'intérêt apparent de Belkin, je le vois bien. Pour plus de détails techniques, consultez l'avis en ligne d'IOActive. Jusqu'à ce que Belkin répare les problèmes, vous pouvez envisager d'essayer un autre système domotique.
