Et si un matin la machine à café du bureau ne voulait plus vous servir et demandait une rançon pour fonctionner ? Le scénario apocalyptique pour les amateurs de caféine n’est pas du registre de la science-fiction. Un expert en cybersécurité de chez Avast, Martin Hron, a montré le faible niveau de protection des objets connectés.
En l’occurrence, il a jeté son dévolu sur une machine à café connectée dont il a éprouvé la sécurité. Dans ses recherches partagées avec nos confrères d’Ars Technica, il a découvert plusieurs failles comme par exemple l’absence de chiffrement, de signature de code dans la réception des commande et de mises à jour du firmware. Ce dernier point constitue la brèche la plus importante, car elle ouvre la voie à différentes attaques.
Une démonstration des risques pour les objets connectés
En analysant la puce utilisée par la cafetière connectée, Martin Hron a pu alors perturber les fonctions les plus importantes de la machine et demander une rançon pour mettre fin au dysfonctionnement. La seule façon d’arrêter la machine était de la débrancher.
L’objectif d’un tel test est de démontrer l’existence de menaces sur l’Internet des objets. « Le risque sur les terminaux connectés n’est pas seulement d’y accéder via un routeur faible ou une exposition sur Internet. Les dispositifs eux-mêmes constituent une menace sans avoir besoin de passer par un routeur ». Dans le cas de la machine à café connectée, l’expert constate qu’elle n’est pas éligible pour recevoir des mises à jour de firmware.