Les chercheurs des laboratoires Kaspersky ont fait passer une série de tests à quatre objets connectés pour vérifier si le niveau de sécurité déclarée est bien réel. Tandis que cela fait des années que l'on parle de la sécurité de l'IoT, les résultats font froid dans le dos : les hackers peuvent s'attaquer à plusieurs objets jusqu'à prendre les maisons intelligentes sous leur contrôle total. Exemple avec les cas Google Chromecast, caméra IP et système de sécurité pour la maison.
Aucun objet n'est infaillible
Le premier objet à passer au banc d'essai a été le Chromecast de Google. Les hackers s'en sont emparés en exploitant une vulnérabilité appelée rickrolling. En attaquant par ce procédé, les hackers peuvent pirater l'image écran de la télé, y envoyer des messages qui pousseraient les utilisateurs à changer leurs mots de passe ou à relancer leur routeur. Ces opérations font revenir l'objet aux paramètres installés par défaut, ce qui en fait une porte d'entrée facile pour les hackers voulant accéder à tout le réseau de l'utilisateur.
Le deuxième objet, une cafetière intelligente contrôlée depuis une application de smartphone, s'est aussi révélé vulnérable. Elle pouvait exposer le mot de passe du réseau wifi, permettant aux hackers de contrôler le réseau et tous les objets qui y seraient connectés.
Le troisième test visait une caméra IP utilisée sur de petits moniteurs et webcams. Dans le scénario mis en place par les chercheurs, après avoir accédé au réseau wifi de la maison, les hackers réussissent à prendre le contrôle des caméras IP et des moniteurs, quand les habitants de la maison – pas si intelligente – ne sont pas là.
Le maillon faible n'est pas toujours celui que l'on croit
Enfin les chercheurs ont examiné le système de sécurité de la maison. Dès que ses occupants sont sortis, les hackers ont pu lancer des attaques contre le système. Bonne nouvelle : le système était bien protégé. Mauvaise nouvelle : bien protégé uniquement du point de vue logiciel, les composants hardware étaient vulnérables au mouvement. Un puissant aimant a suffi pour tromper les capteurs de contact. Cela aurait permis aux vrais hackers d'ouvrir les portes et les fenêtres sans déclencher d'alarmes. De plus, comme les capteurs de mouvement ne réagissaient qu'à la chaleur, il aurait suffi aux criminels de porter des vêtements isothermiques pour se rendre « invisibles » et ne pas être détectés.
Alors, quel est le vrai niveau de sécurité des objets connectés actuellement sur le marché ? A en croire les laboratoires Kaspersky, pas très élevé, ce qui n'est pas fait pour rassurer les fiers propriétaires de maisons intelligentes.
- Partager l'article :