Dans le cadre du 37ème congrès scientifique de l'IEE sur la sécurité et la vie privée, des chercheurs se sont intéressés aux failles de la plateforme Samsung Smarthings. Présenté au grand salon high-tech IFA en 2015, le hub numérique Smarthings propose de contrôler tous les accessoires domotiques via smartphone. Bien que l'application fasse rêver, elle contient des défauts qui font de l'habitat une cible parfaite pour les hackers.
Deux chercheurs de l'université du Michigan, Earlence Fernandes et Atul Prakash, ont mené des tests sur la plateforme Smarthings. Un travail ardu pour ces chercheurs et Jaeyong Jung (employé de Microsoft), qui ont basé leur analyse sur 499 applications Smarthings et 132 dispositifs, servant à l'analyse des données. Sachant qu'ils ont dû aussi s'appuyer sur un environnement cloud fermé et des protocoles tels que ZigBee ou Z-Wafe pour assurer l'interopérabilité des objets connectés.
Hacker Samsung Smarthings, un jeu d'enfant ?
Les trois chercheurs se sont appuyés sur un environnement cloud fermé et des protocoles tels que ZigBee ou Z-Wafe pour assurer l'interopérabilité des objets connectés. Une fois l'application téléchargée et l'installation réalisée, Smarthings expose l'ensemble des dispositifs de la maison pouvant être utilisés avec l'application. En fournissant de tels privilèges, la plateforme leur a permis de déclencher à distance l'alarme associée à un détecteur de fumée, désactiver l'extinction automatique de l'éclairage destiné à dissuader les voleurs en cas d'absence, et même pirater le verrouillage d'une porte. Bref, en confiant votre maison à Samsung, vous risquez le cambriolage. Rien de très étonnant quand on sait que l'essor de l'IoT a accompagné la hausse des cyber-attaques.
La faute aux applications
Pirater le hub Samsung Smarthings ne s'est pas révélé très compliqué, en partie grâce (ou à cause, selon le point de vue) aux applications. 55% d'entres elles requièrent plus de permissions qu'elles n'en auraient réellement besoin tandis que 42% possèdent des droits non explicitement spécifiés à l'utilisateur. Comme celui d'accéder à tous les messages émis par un dispositif, même si l'application n'a accès qu'à l'une des fonctions de l'appareil connecté. De même, il suffit d'un identifiant d'appareil facilement récupérable pour qu'une application sans aucune permission puisse accéder.
Les chercheurs ont également trouvé un code secret dans une application qui leur a permis de mettre une backdoor dans une serrure électronique. Et ce, grâce à une faille de type « open redirect », soit la technique du phishing. Par l'envoi d'un email au nom du service client SmartThings, la victime reçoit un lien où elle renseigne ses identifiants qui sont communiqués aux pirates, et leur donnent ainsi accès à l'administration cloud en ajoutant un code PIN.
- Partager l'article :