Si c’est smart, c’est piratable
Le doute n’est plus permis : les objets connectés représentent d’importantes sources de vulnérabilités, des verrous de porte aux thermostats en passant par ce qui contient une puce Bluetooth.
Le chemin à parcourir semble long, pour que certains objets connectés remplissant des fonctions pour le moins critiques ne puissent gagner la confiance pourtant indispensable à leur adoption. Et cela concerne en tout premier lieu les verrous de porte.
L’ingénieur logiciel Jmaxxz s’est ainsi penché sur les produits d’une marque de renom, August. Et de recourir à une attaque de type man-in-the-middle, consistant à intercepter le trafic, pour faire la démonstration des vulnérabilités du système. Jusqu’à découvrir que celle-ci permet, contrairement à ce qui est assuré par le fabriquant, à un invité d’utiliser les fonctions de déverrouillage automatique, ou encore de modifier les réglages du verrou. Plus grave, l’absence de signature numérique du logiciel interne permet d’envisager d’y apporter des modifications malicieuses.
August était l’une des marques qui avaient résisté à deux chercheurs de Merculite Security. Ceux-ci se sont intéressés aux communications Bluetooth utilisées de nombreux verrous connectés, pour au final réussir à en déjouer 12 sur 16. Il faut dire que ceux signés Quicklock, iBluLock ou encore Plantraco se sont avérés transmettre des mots de passe en clair. Et si pour d’autres, le mot de passe s’est avéré caché, la séquence de communication peut être simplement interceptée puis rejouée pour assurer le déverrouillage. Sans compter, encore, le risque des attaques de type man-in-the-middle, le tout en s’appuyant sur 200 $ de matériel accessible à tous.
Plus généralement, Slawomir Jasek, chercheur en sécurité polonais, s’est penché sur la sécurité des équipements Bluetooth basse énergie. Las, sur un échantillon de dix appareils, seuls deux se sont avérés implémenter les fonctions de sécurité prévues par le standard. Les autres misent sur des mécanismes de contrôle maison. Et ceux-ci ne semblent justement pas résister aux attaques de type man-in-the-middle. Et le chercheur de proposer désormais, en open source, le code d’un système d’interception basé sur les requêtes de profils d’attributs génériques, dit GATTack.
L’an passé, plusieurs chercheurs entrevoyaient le risque de voir émerger des rançongiciels ciblant les objets connectés, et notamment les téléviseurs. Les chercheurs de PenTestPartners ont profité de la conférence Def Con 24 pour montrer « à quel point il est facile de créer des ransomwares pour objets connectés ». En l’occurrence, il se sont attaqués à un thermostat connecté : « notre intention était d’attirer l’attention sur l’état préoccupant de la sécurité dans de nombreux objets connectés domestiques ». Pari réussi ?