Une nouvelle étude en matière de cybersécurité réalisée au sein du Florida Institute of Technology a révélé que les applications pour téléphone intelligent de 16 appareils de domotiques bien connus contenaient des « failles cryptographiques critiques » qui pourraient permettre à des assaillants d’intercepter et de modifier leur trafic numérique.
À mesure que les appareils connectés, comme les verrous, les détecteurs de mouvement, les caméras de sécurité et les haut-parleurs deviennent de plus en plus nombreux dans les maisons occidentales, leur popularité croissante signifie que davantage de gens sont à risque d’être visés par des cyberintrusions.
« Les appareils connectés offrent la promesse de la sécurité avec des verrous, des alarmes et des caméras de sécurité », rappelle le professeur adjoint TJ O’Connor, spécialisé en génie informatique et science, accompagné des étudiants Dylan Jessee et Daniel Campos, dans leur étude.
« Cependant, des pirates peuvent profiter de cette situation pour espionner leurs victimes. »
Les recherches effectuées par M. O’Connor et ses étudiants viennent souvent souligner les vulnérabilités troublantes des appareils connectés, et leur plus récente étude cimente le tout.
En soumettant 20 appareils connectés à des attaques de type « intermédiaire », où les pirates cherchent à intercepter les communications entre les parties, ce qui permet de dérober les données d’identification, de procéder à de l’espionnage ou d’effectuer d’autres activités aux conséquences négatives, les chercheurs ont détecté que 16 de ces appareils ne possédaient pas de mesures de sécurité, ce qui laissait le champ libre aux pirates.
« Nous avançons l’hypothèse que l’architecture de communications des appareils connectés met en place des failles qui permet à un pirate d’intercepter et de manipuler les canaux de communication, ce qui affecte la perception d’un appareil connecté par l’utilisateur », écrivent les trois hommes. « Nous utilisons cette attaque contre une vaste gamme d’appareils connectés pour la maison, et nous avons été en mesure de cacher la présence d’utilisateurs, bloquer le signalement de mouvements, modifier des images prises par des caméras, débarrer des portes, en plus de modifier des fichiers qui enregistrent les faits et gestes des appareils. »
Les appareils fautifs sont l’Echo d’Amazon, les verrous August, Lockly, Schlage, Sifely, SmartThings et Ultraloq, les caméras du Google Home, de Momentum, Nest et Wyze, les lumières Hue, la télévision Roku, ainsi que l’alarme SimpliSafe.
À l’opposé, les appareils de quatre marques – Arlo, Geeni, TP-Link et Ring – ont été jugés comme fiables contre les attaques menées par les chercheurs.
« Si notre travail a permis de révéler l’existence de failles, les fabricants peuvent adopter des mesures pour améliorer la confidentialité et l’intégrité des appareils connectés et de leurs applications », ajoutent les spécialistes.
Ces derniers ont communiqué avec les compagnies touchées avant la publication de leurs travaux. Il est fortement suggéré que ces entreprises mettent en place un système de chiffrement plus robuste, sur leurs serveurs, pour bloquer ces attaques.
Plusieurs fabricants ont déjà commencé à corriger le tir, notamment Wyze, qui a mis à jour son application avant la publication des conclusions des chercheurs, en août.
