Lorsqu’il est question de sécurité, sur ce blog, il s’agit principalement de la sécurité contre les cambriolages. Or, il existe différentes formes de sécurité(s) à connaitre. Parmi ces dernière, il existe la cyber-sécurité, ou piratage informatique. Le problème, c’est qu’avec le développement et la multiplication des systèmes connectés et qui dialoguent entre eux via les écosystèmes numériques, l’ouverture aux attaques est plus grande. De nouvelles recherches montrent que les ampoules Philips Hue et autres produits connectés pourraient être victime d’attaque informatique.
Une équipe d’informaticiens du College of William & Mary a testé la sécurité de plusieurs produits connectés. Des vulnérabilités significatives ont été découvertes, pouvant obliger les marques à repenser la manière dont les appareils interagissent entre eux.
Une attaque possible des produits connectés Philips Hue et Nest
L’équipe de chercheurs de l’université a examiné une attaque appelée « escalade de privilèges ». Ce type d’attaque compromettait l’utilisation d’un dispositif ou d’une application à faibles enjeux pour accéder à un appareil à gros enjeux, comme une caméra de sécurité. Les résultats révèlent des défauts, pas nécessairement dans les appareils eux-mêmes, mais dans l’architecture des plates-formes qui servent de hub central.
Une origine connue ?
«C’est un problème de logiciel qui se répercute sur l’environnement physique et qui ne peut pas être réglé immédiatement», a déclaré l’auteur de l’étude Adwait Nadkarni. «Si vous ne sécurisez pas ces appareils peu sécurisés, même une communication indirecte entre ces deux appareils peut mettre votre système domotique en péril.»
Pour réaliser cette étude, l’équipe a utilisé une configuration domotique simulée. L’idée était de connecter plusieurs appareils à une plate-forme. Par la suite, des attaques ont été menées. Cette démarche est d’autant plus importante que les produits domotique se multiplient. En effet, d’ici 2020, plus de 20 milliards d’objets connectés seront partout (sans parler des smartphones, tablettes, etc).
Piratage par l’infiltration des scénarios
La domotique est pilotée par la mise en œuvre de routines. Pour les lecteurs qui ne le savent pas, il s’agit de séquences d’actions entre des appareils qui sont exécutées sur un ou plusieurs déclencheurs et qui ont une ou plusieurs actions. Par exemple, lorsque vous quittez votre domicile (via la position géographique), les caméras de surveillance s’activent, les prises connectées s’éteignent, l’éclairage aussi, etc.
Piratage de la maison connectée par des vulnérabilités
Dans certains cas, des vulnérabilités peuvent être exploitées. Il s’agit de vulnérabilités relatives à la connexion entre les produits. Par exemple, des pirates peuvent corrompre un dispositif à sécurité faible, tel qu’une ampoule ou une prise connectée.
Or, si cette dernière est connectée à un scénario de sécurité important (exemple avec des caméras de surveillance ou une alarme connectée), il est ainsi possible de modifier la configuration de votre domicile à un moment précis. Plus spécifiquement, les attaquants peuvent modifier les actions des périphériques de haute sécurité tels que les caméras et les serrures via des dispositifs à moindre sécurité.
Les chercheurs ont constaté que ces vulnérabilités sont présentes pour les produits de la marque Nest. Pour faire simple, les produits Nest peuvent modifier des codes sources de produits moins sécurisés, comme les prises connectées. Et ce problème va aller en grandissant, avec le nombre croissant de produits connectés. Toutefois, Denys Poshyvanyk , professeur agrégé d’informatique dit que « Si des efforts systématiques sont déployés pour repenser ces plates-formes dans un souci de sécurité, ces attaques peuvent être prévenues – mais cela nécessiterait l’adoption de normes communes par ces sociétés.«
Vers une solution contre le piratage ou les vulnérabilités de la domotique et de la maison connectée ?
Plusieurs des sociétés mentionnées dans l’étude, notamment Google et Philips, ont confirmé à Nadkarni et à Poshyvanyk que leurs ingénieurs se penchaient sur ces problèmes de sécurité. Or, non seulement il faut faire attention aux composants des produits, mais aussi aux applications tierces. Celles-ci peuvent aussi introduire des risques de sécurité inattendus.
Bien sûr, les entreprises de technologie se battent sur tous les fronts pour sécuriser les appareils intelligents. Mais il est aussi possible de limiter la casse soi-même contre le piratage. Tout d’abord, il est important de choisir des mots de passe forts, avec des majuscules etc. De même, moins vous laissez d’autorisations à vos produits connectés, mieux c’est. Enfin, pour ce qui est des caméras de surveillance ou de l’alarme, il est préférable que cette dernière notamment ne soit pas en communication avec d’autres périphériques.