Trou dans la gamelle : la mangeoire intelligente pour animaux de compagnie a une fuite

Les mangeoires intelligentes ont été inventées pour faciliter la vie des propriétaires d’animaux de compagnie. Cependant, leurs vulnérabilités menacent non seulement la vie privée des propriétaires, mais aussi la santé de leurs animaux.

Tous les propriétaires d’animaux aiment leurs animaux de compagnie. Et qu’est-ce que les animaux de compagnie aiment par-dessus tout ? Des soins et de la nourriture, bien sûr. Ou vice versa : la nourriture d’abord, la caresse ensuite.

Les mangeoires intelligentes d’aujourd’hui sont conçues pour que votre animal n’ait pas faim et ne s’ennuie pas pendant votre absence. Mais qu’en est-il de la cybersécurité ? Pas génial…

Des mangeoires intelligentes pour les amis à fourrure

Les mangeoires intelligentes deviennent un choix populaire pour les propriétaires d’animaux qui ne peuvent pas rester à la maison toute la journée. Il est difficile d’expliquer à un chat ou à un chien pourquoi vous devez quitter la maison tous les matins au lieu de rester chez vous pour le nourrir et le promener/jouer avec lui, mais au moins, avec une mangeoire intelligente, il n’a pas faim.

Les premières mangeoires intelligentes étaient des appareils hors ligne commandés par une minuterie qui mesuraient simplement les portions de nourriture. Mais au fur et à mesure que les systèmes domestiques intelligents se sont imposés, les mangeoires sont devenues plus complexes et ont été dotées de fonctions supplémentaires. Aujourd’hui, vous pouvez non seulement programmer la distribution de nourriture, mais aussi surveiller et même communiquer à distance avec votre animal grâce au microphone, au haut-parleur et à la caméra intégrés. Beaucoup d’entre eux prennent également en charge la commande vocale via des appareils externes tels qu’Amazon Alexa. Pour cela, ils se connectent au Wi-Fi de votre domicile et sont gérés via une application sur votre téléphone.

Comme vous pouvez le deviner, si un appareil domestique intelligent est équipé d’une caméra, d’un microphone et d’un accès à l’internet, il présente un grand intérêt pour les pirates informatiques. En ce qui concerne la sécurité (ou l’absence de sécurité) des caméras IP, nous avons déjà utilisé beaucoup d’encre numérique : des pirates peuvent détourner des moniteurs de surveillance en ligne pour harceler les baby-sitters et effrayer les enfants ; des aspirateurs robots peuvent divulguer des photos osées de leurs propriétaires ou un plan de leur maison ; et même des ampoules intelligentes ( !) ont été utilisées pour des attaques sur des réseaux domestiques.

C’est maintenant au tour des « mangeoires intelligentes ».

Bol non étanche

Nos experts ont étudié la célèbre mangeoire intelligente Dogness et y ont trouvé de nombreuses vulnérabilités qui permettent à un pirate de modifier le programme d’alimentation, ce qui peut mettre en danger la santé de votre animal, ou même transformer la mangeoire en un dispositif d’espionnage. Parmi les problèmes de sécurité les plus frustrants, citons l’utilisation d’identifiants codés en dur, la communication avec le cloud en clair et un processus de mise à jour du micrologiciel non sécurisé. Ces vulnérabilités peuvent être exploitées pour obtenir un accès non autorisé à la mangeoire intelligente et l’utiliser comme rampe de lancement pour attaquer d’autres appareils sur le réseau domestique. Pour en savoir plus sur la méthodologie de recherche, consultez notre rapport approfondi sur Securelist. Nous nous contenterons ici d’évoquer les failles découvertes et les risques qu’elles représentent.

La racine du problème

La principale vulnérabilité de la mangeoire intelligente Dogness est le serveur Telnet qui permet l’accès à distance à la racine via le port par défaut. En même temps, le mot de passe du superutilisateur est codé en dur dans le micrologiciel et ne peut pas être modifié, ce qui signifie qu’un attaquant qui extrait le micrologiciel peut facilement récupérer le mot de passe et obtenir un accès complet à l’appareil – et en fait à n’importe quel appareil du même modèle, puisqu’ils ont tous le même mot de passe root. Tout ce qu’il a à faire, c’est d’acheter le même modèle de chargeur et de le bricoler.

En se connectant à distance via Telnet (pour cela, le pirate doit obtenir un accès à distance à votre réseau domestique) avec un accès root, un intrus peut exécuter n’importe quel code sur l’appareil, modifier les paramètres et voler des données sensibles, y compris les séquences vidéo transférées de la caméra de la mangeoire vers le cloud. Ainsi, la mangeoire peut facilement être transformée en dispositif d’espionnage avec une caméra grand angle et un bon microphone.

Le cryptage, ça vous dit quelque chose ?

Outre le fait que le mot de passe root est à la fois intégré dans le micrologiciel et commun à tous les appareils, nous avons découvert une vulnérabilité non moins grave : la mangeoire communique avec le cloud sans aucun cryptage. Les données d’authentification sont également transmises en clair, ce qui signifie qu’un acteur malveillant n’a même pas besoin de se préoccuper de récupérer le mot de passe root dans le micrologiciel : il lui suffit d’intercepter le trafic entre le chargeur et le cloud, d’accéder à l’appareil, puis d’attaquer d’autres appareils sur le même réseau par son intermédiaire – ce qui met en péril l’ensemble de l’infrastructure domestique.

Alexa, aboie !

Mais malgré les failles, le bol est encore plein de surprises. La mangeoire Dogness peut se connecter à Amazon Alexa pour une commande vocale. Pratique. N’est-ce pas ? Il suffit de dire « Nourrir ! » à Alexa. Vous n’avez même pas besoin de sortir votre téléphone.

Une fois de plus, comme vous pouvez l’imaginer, une sécurité aussi laxiste de la part des développeurs a des conséquences. L’appareil reçoit les commandes d’Alexa via MQTT (Message Queuing Telemetry Transport), et les identifiants de connexion sont à nouveau écrits en clair directement dans le fichier exécutable. En d’autres termes, une fois que vous avez connecté votre mangeoire à Alexa pour la commande vocale, ce n’est plus vraiment votre mangeoire.

En se connectant au serveur MQTT, un pirate peut rapidement collecter les identifiants de tous les appareils similaires connectés au serveur – c’est-à-dire tous les mangeoires dont les propriétaires ont décidé d’utiliser la commande vocale. Ensuite, le cybercriminel peut envoyer n’importe quelle commande vocale disponible sur le serveur MQTT à n’importe quelle mangeoire Dogness connectée à Alexa et dont l’identifiant est connu.

Un cybercriminel serait en mesure d’envoyer des commandes pour modifier l’horaire d’alimentation et les quantités de nourriture mesurées (accordant à votre animal un festin digne d’un roi ou un jeûne semblable à celui de Jésus). Un autre effet secondaire est qu’un pirate pourrait envoyer des commandes spécialement formées à la mangeoire de façon répétée, rendant ainsi l’interface de commande vocale inopérante.

Le streaming – que vous le vouliez ou non

Au fur et à mesure que l’étude avançait, de nouvelles surprises nous attendaient en ce qui concerne le téléchargement de la vidéo vers le cloud, à partir duquel vous pouvez la diffuser sur votre téléphone. Bien que l’application mobile se connecte au serveur à l’aide du protocole sécurisé HTTPS, il s’est avéré que le chargeur lui-même transmettait les données au cloud sans aucun cryptage – via le bon vieux HTTP. De plus, l’identifiant de l’appareil et la clé de téléchargement (codée en dur dans le code binaire) sont transmis au serveur en clair.

Étant donné que la caméra d’alimentation est conçue pour enregistrer et transmettre continuellement des vidéos au serveur, cette vulnérabilité permet aux attaquants de voir et d’entendre tout ce qui se passe dans le champ de vision de la caméra.

Un matériel pas si solide que ça

Enfin, la cerise sur le gâteau, ou plutôt la crème que le chat a reçue : le processus de mise à jour du micrologiciel – le moyen de résoudre les problèmes susmentionnés – est lui-même non sécurisé ! Pour effectuer la mise à jour, la mangeoire télécharge un fichier d’archive contenant le nouveau micrologiciel à partir du serveur de mise à jour via le protocole HTTP, qui n’est pas sûr. Certes, l’archive est protégée par un mot de passe, mais, comme vous l’avez probablement déjà deviné, ce mot de passe est écrit en clair dans l’un des scripts de mise à jour. L’URL à partir de laquelle la dernière version du micrologiciel est téléchargée est générée sur la base de la réponse reçue du serveur de mise à jour, dont l’adresse est, c’est vrai, intégrée dans le micrologiciel existant.

Il n’y a pas de signatures numériques ni d’autres méthodes de vérification du micrologiciel : l’appareil télécharge l’archive contenant le nouveau micrologiciel par un canal non crypté, la décompresse à l’aide du mot de passe intégré (et commun à tous les appareils) et l’installe rapidement. Cela signifie qu’un pirate peut potentiellement modifier le micrologiciel et télécharger tout ce qu’il souhaite dans l’appareil, en y ajoutant des fonctions inattendues et non désirées.

Comment rester en sécurité ?

Dans un monde idéal, toutes ces failles de sécurité auraient été corrigées par le fabricant du chargeur grâce à une mise à jour opportune du micrologiciel, avant que les pirates n’en prennent connaissance. Dans la réalité, nous avons signalé à plusieurs reprises ces failles au fabricant, mais nous n’avons reçu aucune réponse – depuis octobre 2022. Pendant ce temps, toutes les vulnérabilités que nous avons trouvées sont toujours présentes dans les mangeoires intelligentes Dogness vendues au public. Cela constitue une menace sérieuse pour le bien-être des animaux de compagnie et la vie privée de leurs propriétaires.

Nous vous recommandons de lire notre guide détaillé sur la mise en place d’un système de sécurité pour les maisons intelligentes. La plupart des conseils qui y sont prodigués s’appliquent également aux problèmes liés à l’alimentation intelligente décrits ci-dessus. Quoi qu’il en soit, voici quelques conseils simples destinés spécifiquement aux propriétaires de mangeoires Dogness :

  • Vérifiez régulièrement les mises à jour du micrologiciel.
  • N’utilisez pas Amazon Alexa pour contrôler votre mangeoire Dogness.
  • Désactivez le streaming vidéo vers le cloud ou placez la mangeoire dans votre maison de manière à ce que la caméra ne puisse rien capturer de privé.
  • Établissez une connexion VPN sécurisée pour accéder à Internet en utilisant un routeur qui prend en charge votre réseau domestique – cela réduira considérablement le risque d’attaques via le protocole HTTP non sécurisé.
  • Si votre routeur ne prend pas en charge le VPN, créez-y un réseau Wi-Fi invité et connectez-y la mangeoire (et d’autres appareils domestiques intelligents non sécurisés). Vous éviterez ainsi les attaques sur d’autres parties de votre réseau domestique en cas de piratage d’un appareil intelligent non sécurisé.
  • Utilisez une solution de sécurité fiable pour tous les appareils de votre maison. Nous recommandons un abonnement Kaspersky Premium pour une protection complète de tous les appareils de la maison. Il comprend un accès VPN à haut débit avec une bande passante illimitée, ainsi qu’une surveillance des changements sur votre réseau domestique afin de détecter et de rejeter les connexions non autorisées.
Conseils