Pratiques, utiles et dans l'ère du temps, les objets connectés n'en demeurent pas moins de véritables nids à vulnérabilités. Un chercheur en sécurité de Cisco Talos, Claudio Bozzato, le prouve une fois de plus en venant récemment de démontrer l'existence de plusieurs vulnérabilités présentes dans le firmware du Samsung SmartThings Hub. Cette plateforme permet de surveiller et de gérer divers dispositifs IoT tels que des prises, ampoules, thermostats, des caméras et d'autres déployés dans les maisons connectées. Le SmartThings Hub fonctionne comme un contrôleur centralisé pour ces périphériques et permet aux utilisateurs de se connecter à distance et de gérer ces périphériques à l'aide d'un smartphone.
Le micrologiciel fonctionnant sur le SmartThings Hub est basé sur Linux et permet la communication avec les périphériques IoT en utilisant une variété de technologies différentes telles qu'Ethernet, Zigbee, Z-Wave et Bluetooth. Étant donné que ces appareils collectent souvent des informations sensibles, les vulnérabilités découvertes pourraient être exploitées pour permettre à un attaquant d'accéder à ces informations, de surveiller et de contrôler des appareils dans la maison, ou d'effectuer des activités non autorisées, selon le chercheur de Cisco Talos. En tout, 20 vulnérabilités ont été trouvées dans le Samsung SmartThings Hub. Cisco-Talos indique avoir collaboré avec le fabricant coréen pour s'assurer que tous les problèmes ont été résolus et qu'une mise à jour du micrologiciel a été mise à disposition des clients concernés.
« Ne suivez pas la tendance de l'IoT simplement parce que ça à l'air cool »
« On nous demande souvent pourquoi les cybercriminels se donneraient la peine d'attaquer les maisons connectées, comme si le ménage moyen n'avait pas de valeur », a interpellé Paul Ducklin, responsable technique chez Sophos. « C'est la mauvaise question, vous devriez demander pourquoi ils ne le feraient pas ». Les criminels peuvent pirater les réseaux domestiques pour détourner du trafic réseau, captures d'écran, mots de passe, détails de la configuration logicielle et plus encore, de n'importe où dans le monde. Ils peuvent également accéder à l'intérieur des photos des serrures des portes et des fenêtres, des informations sur les heures que les utilisateurs conservent et quand ils sont en vacances. Bien que cela ne leur soit pas directement utile, ils peuvent ensuite vendre cette information à des criminels proches de chez eux. Les pirates peuvent également déverrouiller les Smart Locks contrôlés par le SmartThings Hub, désactiver les détecteurs de mouvement, éteindre les prises connectées, utiliser les caméras de la maison pour surveiller les occupants à distance ou endommager physiquement les appareils connectés aux prises intelligentes de la maison.
« Si vous avez un SmartThings Hub, faites le réparer dès maintenant », explique Paul Ducklin. « Si vous n'êtes pas un early adopter et que vous voulez un Internet des objets plus sûr dans cinq ou dix ans, ne suivez pas la tendance de l'IoT simplement parce que ça a l'air cool. Ne vous précipitez pas, faites le tour des offres, recherchez le vendeur, posez des questions sur les forums de sécurité et ne vous laissez pas séduire par des campagnes marketing groovy ».