maison connectée

Des maisons pas si intelligentes

Les experts de l’équipe GReAT ont découvert une vulnérabilité dangereuse dans une application de gestion de maison connectée qui permet à des pirates informatiques de désactiver les systèmes de sécurité physique

GReAT
28 Mai 2025

Les maisons connectées d’aujourd’hui n’ont rien à voir avec la science-fiction des films de la fin des années 90. C’est une réalité pour presque tous ceux qui vivent dans les grandes villes. Il est difficile de trouver un appartement moderne sans prises électriques, haut-parleurs ou téléviseurs intelligents. Dans les constructions neuves, il arrive que les maisons soient connectées dès leur conception, ce qui donne naissance à des ensembles résidentiels entièrement connectés. Les résidents peuvent gérer non seulement les appareils installés dans leur appartement, mais aussi les systèmes externes, comme les interphones, les caméras, les portails, les compteurs d’énergie et les alarmes incendie, le tout à partir d’une seule application.

Mais que se passe-t-il s’il y a une faille de sécurité dans une application de ce type ? Nos experts de l’équipe Global Research and Analysis Team (GReAT) connaissent la réponse. Ils ont découvert une vulnérabilité dans l’application Rubetek Home et étudié les risques de sécurité pour les propriétaires de maisons connectées, qui, heureusement, ne se sont pas concrétisés.

En quoi consistait cette vulnérabilité

Cette vulnérabilité provenait du fait que l’application envoyait des données sensibles pendant le processus de connexion. Les développeurs ont utilisé l’API Telegram Bot pour collecter des données analytiques et envoyer des fichiers d’information de débogage des utilisateurs vers un chat privé de l’équipe de développement via un bot Telegram.

Le problème était que ces fichiers, en plus des informations système, contenaient les données personnelles des utilisateurs et, plus important encore, les jetons d’actualisation nécessaires pour autoriser l’accès aux comptes. Les attaquants potentiels pouvaient se transmettre tous ces fichiers à eux-mêmes en utilisant le même bot Telegram. Pour ce faire, ils pouvaient obtenir son jeton Telegram et l’identifiant de discussion à partir du code de l’application, puis parcourir les numéros séquentiels des messages contenant les fichiers.

Récemment, l’enregistrement d’événements via Telegram est devenu de plus en plus populaire. Il est pratique et rapide de recevoir des notifications importantes dans une application de messagerie. Toutefois, cette approche appelle à la prudence : nous recommandons de ne pas transmettre de données sensibles dans les journaux d’application, mais également d’interdire la copie et le transfert de contenu du groupe dans les paramètres de Telegram ou d’utiliser le paramètre protect_content lors de l’envoi d’un message par l’intermédiaire d’un bot Telegram.

Remarque importante : nous avons immédiatement contacté Rubetek après avoir découvert la vulnérabilité. Au moment de la publication de cet article, le problème avait été corrigé.

Des pirates potentiels auraient pu accéder aux données que toutes les applications de l’utilisateur envoyaient au développeur. La liste de ces données est époustouflante :

Nom complet, adresse email ou numéro de téléphone portable, et adresse de la propriété liée à l’application
Liste des appareils liés au système de maison connectée
Informations sur les événements enregistrés par les appareils connectés, comme l’activation ou la désactivation du système de sécurité, ou la détection de sons suspects par les caméras
Informations système sur les appareils au sein du réseau domestique local : adresse MAC, adresse IP et type d’appareil
Adresses IP pour la connexion aux caméras via le protocole WebRTC
Instantanés pris par les caméras intelligentes et les interphones
Conversations de l’utilisateur avec une forme d’assistance
Jetons permettant de démarrer une nouvelle session avec le compte de l’utilisateur

Les utilisateurs des applications Android et iOS étaient en danger.

Que se passe-t-il si des acteurs malveillants prennent réellement le contrôle de votre maison connectée ?

Ce large éventail de données aurait pu permettre une surveillance complète – permettant de connaître le lieu de résidence des personnes et les jours où elles ne sont pas chez elles. Les criminels auraient pu connaître l’emploi du temps de quelqu’un et, pendant ces heures creuses, entrer dans n’importe quel appartement après avoir désactivé à distance les caméras et autres systèmes de sécurité au moyen de l’application.

Si une effraction aussi flagrante aurait certainement été remarquée, il existe d’autres possibilités plus subtiles. Par exemple, en exploitant la vulnérabilité, les auteurs de l’attaque auraient pu modifier à distance les couleurs des ampoules intelligentes et les températures du sol, allumant et éteignant sans fin les lumières, ce qui aurait causé une perte financière considérable aux propriétaires des biens.

Ce qui est encore plus inquiétant, c’est la possibilité pour un attaquant de cibler non pas un seul appartement ou une seule maison, mais des milliers de résidents dans un complexe entier. Bien sûr, la désactivation simultanée des systèmes de contrôle d’accès ne serait pas passée inaperçue aux yeux des gestionnaires du bâtiment, mais à quelle vitesse ceux-ci auraient-ils compris ce qui se passait et quels dommages les résidents auraient-ils pu subir entre-temps ?

Comment protéger votre maison connectée ?

Gardez en tête que le type de vulnérabilités dont nous parlons pourrait également exister dans d’autres applications de maison connectée. Lorsqu’on est un utilisateur parmi tant d’autres, difficile de détecter si une application a été compromise. C’est pourquoi, si vous remarquez le moindre type d’activité suspecte, comme de nouvelles personnes sur votre liste d’invités, l’ouverture et la fermeture non autorisées de portes et de portails, et ainsi de suite, nous vous recommandons de contacter l’administrateur et le fournisseur de l’application dans les plus brefs délais.

Dans un scénario plus courant, comme l’utilisation d’appareils intelligents dans votre propre appartement et sans administrateur de réseau à qui s’adresser, nous vous recommandons de suivre les règles suivantes :

Sécurisez votre réseau Wi-Fi en remplaçant le mot de passe par défaut par un mot de passe plus fort, désactivez la technologie WPS et activez le chiffrement WPA2.
Créez un réseau Wi-Fi réservé à vos appareils de maison connectée et définissez un mot de passe différent pour ce réseau. Les routeurs modernes prennent en charge les réseaux invités, de sorte que si, par exemple, un berceau intelligent est piraté, les criminels n’auront pas accès à vos ordinateurs ni à vos smartphones.
Utilisez l’application Kaspersky Premium pour vérifier régulièrement la présence d’appareils non autorisés dans votre réseau. Si tout va bien, le Contrôle des maisons connectées n’affichera que les informations relatives à vos appareils.
Définissez des mots de passe sécurisés pour chaque appareil. Vous n’avez pas besoin de les mémoriser : Kaspersky Password Manager peut s’en occuper.
Mettez régulièrement à jour le micrologiciel de tous vos appareils intelligents, y compris celui de votre routeur.

Consultez ces liens pour en savoir plus sur les autres risques que peut poser une maison connectée piratée et les façons de protéger votre domicile.

Comment protéger votre maison connectée

La sécurité des caméras IP : le Bon, la Brute et le Truand

Comment connecter votre maison

Votre téléviseur, votre smartphone et vos enceintes connectées vous écoutent-ils ?

Trou dans la gamelle : la mangeoire intelligente pour animaux de compagnie a une fuite

AirBorne : attaques contre les appareils Apple via des vulnérabilités dans AirPlay

Des vulnérabilités récemment découvertes dans AirPlay permettent des attaques sur les appareils Apple et d’autres produits compatibles AirPlay via le réseau Wi-Fi, notamment des exploits sans clic.

Conseils

Faut-il désactiver Microsoft Recall en 2025 ?

Un an après son annonce désastreuse, Microsoft lance enfin sa fonctionnalité Recall basée sur l’IA sur les ordinateurs Copilot+. La nouvelle version est-elle sûre et qu’est-ce qui a réellement changé ?

Quand les liens deviennent violets : comment vos clics menacent votre vie privée

Pourquoi les liens mis en évidence vers les sites visités peuvent être dangereux, et pourquoi une solution a été élaborée il y a plus de 20 ans.

12 conseils pour utiliser WhatsApp, Telegram…

Douze conseils courts et simples pour utiliser WhatsApp, Telegram, Signal, iMessage, WeChat et autres applications de messagerie en toute sécurité et sans prise de tête.

Les cardeurs NFC se cachent derrière Apple Pay et Google Wallet

Les cybercriminels inventent de nouvelles façons de voler de l’argent sur des cartes de paiement en utilisant des identifiants récupérés en ligne ou par téléphone. Parfois, le simple fait d’approcher votre carte de votre téléphone suffit à vous laisser sans le sou.

Protection des enfants

Des maisons pas si intelligentes

En quoi consistait cette vulnérabilité

Que se passe-t-il si des acteurs malveillants prennent réellement le contrôle de votre maison connectée ?

Comment protéger votre maison connectée ?

Comment protéger votre maison connectée

Comment connecter votre maison

AirBorne : attaques contre les appareils Apple via des vulnérabilités dans AirPlay

Conseils

Faut-il désactiver Microsoft Recall en 2025 ?

Quand les liens deviennent violets : comment vos clics menacent votre vie privée

12 conseils pour utiliser WhatsApp, Telegram…

Les cardeurs NFC se cachent derrière Apple Pay et Google Wallet

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky