Étude : La majorité des maisons intelligentes sont vulnérables au piratage

15 Mai 2014

Si vous suivez l’actualité du monde de la sécurité informatique, vous ne devez certainement pas être très surpris d’apprendre que de nombreux systèmes de maisons intelligentes ne sont pas bien conçus et exposent les maisons dans lesquels ils sont installés à toute une série de sérieuses vulnérabilités de sécurité.

smart

Au risque d’insulter votre intelligence, les maisons intelligentes sont exactement ce que vous pensez qu’elles sont (pensez également aux smartphones, au Smart TV, aux voitures intelligentes, etc.) : ils s’agit de maisons dans lesquelles les appareils, les systèmes de chauffage et de refroidissement, la lumière, les détecteurs de fumée et/ou les serrures des portes sont tous connectés au réseau de la maison puis à Internet et donc aux ordinateurs, tablettes, téléphones mobiles et à tout autre appareil connecté à Internet. De tels systèmes, permettent aux utilisateurs de surveiller à distance et de manipuler ces systèmes dans leur maison.

Depuis déjà un certain temps, les chercheurs découvrent les failles de sécurité de ces systèmes intelligents et de tous ces appareils connectés à Internet. Plus récemment, nos amis chez AV-Test.org ont testé la sécurité de sept de ces systèmes et ont constaté que quatre d’entre eux n’étaient pas sécurisés.

Bien sûr, sept est un nombre très réduit et il se peut qu’il ne soit pas assez représentatif. Néanmoins, les appareils vulnérables dans cette étude pourraient être exploités par des attaques internes ou externes ciblant le réseau du domicile et les appareils qui y sont connectés ou la maison elle-même et les biens qu’elle contient.

AV-Test a analysé les systèmes suivants : iConnect de eSaver, tapHome de EUROiSTYLE, les éléments de Gigaset, iComfort de REVRitter, la Smart Home de RWE, QIVICON de Deutsche Telekom et XAVAX MAX! de Hama. Parmi eux, selon les tests d’AV-Test, seuls les systèmes de Gigaset, RWE et QIVICON se sont bien défendus contre les vulnérabilités et les accès non autorisés. Les kits iComfort et tapHome contenaient des vulnérabilités exploitables localement, ce qui signifie que le pirate aurait besoin de se trouver dans la maison pour exploiter ces bugs. Cependant, les kits iComfort et XAVAX MAX! pouvaient être exploités à distance (ainsi que localement). Chaque produit offre différentes options. Mais dans l’ensemble, il s’agit de systèmes de contrôle pour l’électricité, le chauffage et la sécurité; de systèmes de surveillance des fenêtres, portes et pièces; de systèmes de contrôle pour éteindre ou allumer les prises de courant; et de systèmes permettant d’allumer ou d’éteindre la lumière, le chauffage et l’électricité.

En bref, un pirate pourrait manipuler ces systèmes connectés afin de les endommager (comme par exemple, éteindre le chauffage et faire exploser les tuyaux en hiver).

Depuis déjà un certain temps, les chercheurs découvrent les failles de sécurité de ces systèmes intelligents et de tous ces appareils connectés à Internet.

Néanmoins, la plupart des criminels recherchent l’argent. C’est pourquoi les attaques les plus probables sont celles qui utilisent ces faiblesses comme des points d’accès pour ensuite obtenir des données de valeur stockées dans le réseau du domicile en question. Il est également possible que les appareils non sécurisés soient compromis afin de mener des campagnes de surveillance avant un éventuel cambriolage. AV-Test note que l’utilisation de ransomwares sur ces différents appareils connectés pourrait également être une solution tentante pour les pirates. Il serait difficile de refuser de payer la rançon si votre foyer tout entier ne fonctionnait plus.

AV-Test a cherché à savoir si les communications entre les appareils étaient chiffrées, si ces kits exigeaient une authentification par défaut (via un mot de passe rentré physiquement ou sur Internet) et s’il était possible de pirater ces systèmes à distance.

Les communications depuis et vers les produits Gigaset, RWE et QIVICON sont toujours chiffrées et considérées comme sûres par AV-Test. iConnects chiffre également ses communications mais AV-Test affirme que leur système de chiffrement peut être facilement contourné. Les autres produits de l’étude – iComfort, tapHome et XAVAX MAX! – n’utilisent pas du tout le chiffrement.

Ne pas utiliser le chiffrement signifie que toutes les communications de ces maisons intelligentes pourraient être facilement interceptées. Un pirate pourrait donc surveiller les communications de ces appareils, copier les codes pour manipuler leurs actions ou même les surveiller pour savoir quand les propriétaires ne sont pas chez eux.

 

Le produit iComfort ne requiert aucune authentification, ce qui signifie que les pirates peuvent lancer des attaques contre le système via Internet. iConnect et XAVAX MAX! requièrent une authentification sur Internet mais ils n’en requièrent aucune pour un accès local ou physique. tapHome requière une authentification interne mais comme l’étude le note, cette mesure est inutile puisque le produit n’utilise pas le chiffrement. Les éléments de Gigaset, RWE Smart Home et QIVICON requièrent tous une authentification qu’il s’agisse d’un accès physique ou via Internet (en plus de communiquer en toute sécurité).

Voici la bonne nouvelle : AV-Test pense que si les fabricants de ces produits prennent le temps de développer un concept complètement sécurisé au lieu de s’empresser de sortir leurs produits sur le marché, il sera alors possible de voir apparaitre des systèmes sécurisés pour votre domicile. Et voici l’autre bonne nouvelle si vous pensez à acheter l’un de ces systèmes, AV-Test vous indique ce que vous devez rechercher : des systèmes qui requièrent toujours une authentification et qui chiffrent toujours leurs communications.