Tous les propri\u00e9taires d\u2019animaux aiment leurs animaux de compagnie. Et qu\u2019est-ce que les animaux de compagnie aiment par-dessus tout\u00a0? Des soins et de la nourriture, bien s\u00fbr. Ou vice versa\u00a0: la nourriture d\u2019abord, la caresse ensuite.<\/p>\n
Les mangeoires intelligentes d\u2019aujourd\u2019hui sont con\u00e7ues pour que votre animal n\u2019ait pas faim et ne s\u2019ennuie pas pendant votre absence. Mais qu\u2019en est-il de la cybers\u00e9curit\u00e9\u00a0? Pas g\u00e9nial\u2026<\/p>\n
Les mangeoires intelligentes deviennent un choix populaire pour les propri\u00e9taires d\u2019animaux qui ne peuvent pas rester \u00e0 la maison toute la journ\u00e9e. Il est difficile d\u2019expliquer \u00e0 un chat ou \u00e0 un chien pourquoi vous devez quitter la maison tous les matins au lieu de rester chez vous pour le nourrir et le promener\/jouer avec lui, mais au moins, avec une mangeoire intelligente, il n\u2019a pas faim.<\/p>\n
Les premi\u00e8res mangeoires intelligentes \u00e9taient des appareils hors ligne command\u00e9s par une minuterie qui mesuraient simplement les portions de nourriture. Mais au fur et \u00e0 mesure que les syst\u00e8mes domestiques intelligents se sont impos\u00e9s, les mangeoires sont devenues plus complexes et ont \u00e9t\u00e9 dot\u00e9es de fonctions suppl\u00e9mentaires. Aujourd\u2019hui, vous pouvez non seulement programmer la distribution de nourriture, mais aussi surveiller et m\u00eame communiquer \u00e0 distance avec votre animal gr\u00e2ce au microphone, au haut-parleur et \u00e0 la cam\u00e9ra int\u00e9gr\u00e9s. Beaucoup d\u2019entre eux prennent \u00e9galement en charge la commande vocale via des appareils externes tels qu\u2019Amazon Alexa. Pour cela, ils se connectent au Wi-Fi de votre domicile et sont g\u00e9r\u00e9s via une application sur votre t\u00e9l\u00e9phone.<\/p>\n
Comme vous pouvez le deviner, si un appareil domestique intelligent est \u00e9quip\u00e9 d\u2019une cam\u00e9ra, d\u2019un microphone et d\u2019un acc\u00e8s \u00e0 l\u2019internet, il pr\u00e9sente un grand int\u00e9r\u00eat pour les pirates informatiques. En ce qui concerne la s\u00e9curit\u00e9 (ou l\u2019absence de s\u00e9curit\u00e9) des cam\u00e9ras IP, nous avons d\u00e9j\u00e0 utilis\u00e9 beaucoup d\u2019encre num\u00e9rique<\/a>\u00a0: des pirates peuvent d\u00e9tourner des moniteurs de surveillance en ligne pour harceler les baby-sitters et effrayer les enfants<\/a>\u00a0; des aspirateurs robots peuvent divulguer<\/a> des photos os\u00e9es de leurs propri\u00e9taires ou un plan de leur maison ; et m\u00eame des ampoules intelligentes ( !) ont \u00e9t\u00e9 utilis\u00e9es pour des attaques sur des r\u00e9seaux domestiques<\/a>.<\/p>\n C\u2019est maintenant au tour des \u00ab\u00a0mangeoires intelligentes\u00a0\u00bb.<\/p>\n Nos experts ont \u00e9tudi\u00e9 la c\u00e9l\u00e8bre mangeoire intelligente Dogness<\/a> et y ont trouv\u00e9 de nombreuses vuln\u00e9rabilit\u00e9s qui permettent \u00e0 un pirate de modifier le programme d\u2019alimentation, ce qui peut mettre en danger la sant\u00e9 de votre animal, ou m\u00eame transformer la mangeoire en un dispositif d\u2019espionnage. Parmi les probl\u00e8mes de s\u00e9curit\u00e9 les plus frustrants, citons l\u2019utilisation d\u2019identifiants cod\u00e9s en dur, la communication avec le cloud en clair et un processus de mise \u00e0 jour du micrologiciel non s\u00e9curis\u00e9. Ces vuln\u00e9rabilit\u00e9s peuvent \u00eatre exploit\u00e9es pour obtenir un acc\u00e8s non autoris\u00e9 \u00e0 la mangeoire intelligente et l\u2019utiliser comme rampe de lancement pour attaquer d\u2019autres appareils sur le r\u00e9seau domestique. Pour en savoir plus sur la m\u00e9thodologie de recherche, consultez notre rapport approfondi<\/a> sur Securelist. Nous nous contenterons ici d\u2019\u00e9voquer les failles d\u00e9couvertes et les risques qu\u2019elles repr\u00e9sentent.<\/p>\n La principale vuln\u00e9rabilit\u00e9 de la mangeoire intelligente Dogness est le serveur Telnet qui permet l\u2019acc\u00e8s \u00e0 distance \u00e0 la racine via le port par d\u00e9faut. En m\u00eame temps, le mot de passe du superutilisateur<\/a> est cod\u00e9 en dur dans le micrologiciel et ne peut pas \u00eatre modifi\u00e9, ce qui signifie qu\u2019un attaquant qui extrait le micrologiciel peut facilement r\u00e9cup\u00e9rer le mot de passe et obtenir un acc\u00e8s complet \u00e0 l\u2019appareil \u2013 et en fait \u00e0 n\u2019importe quel<\/em> appareil du m\u00eame mod\u00e8le, puisqu\u2019ils ont tous le m\u00eame mot de passe root. Tout ce qu\u2019il a \u00e0 faire, c\u2019est d\u2019acheter le m\u00eame mod\u00e8le de chargeur et de le bricoler.<\/p>\n En se connectant \u00e0 distance via Telnet (pour cela, le pirate doit obtenir un acc\u00e8s \u00e0 distance \u00e0 votre r\u00e9seau domestique) avec un acc\u00e8s root, un intrus peut ex\u00e9cuter n\u2019importe quel code sur l\u2019appareil, modifier les param\u00e8tres et voler des donn\u00e9es sensibles, y compris les s\u00e9quences vid\u00e9o transf\u00e9r\u00e9es de la cam\u00e9ra de la mangeoire vers le cloud. Ainsi, la mangeoire peut facilement \u00eatre transform\u00e9e en dispositif d\u2019espionnage avec une cam\u00e9ra grand angle et un bon microphone.<\/p>\n Outre le fait que le mot de passe root est \u00e0 la fois int\u00e9gr\u00e9 dans le micrologiciel et commun \u00e0 tous les appareils, nous avons d\u00e9couvert une vuln\u00e9rabilit\u00e9 non moins grave\u00a0: la mangeoire communique avec le cloud sans aucun cryptage. Les donn\u00e9es d\u2019authentification sont \u00e9galement transmises en clair, ce qui signifie qu\u2019un acteur malveillant n\u2019a m\u00eame pas besoin de se pr\u00e9occuper de r\u00e9cup\u00e9rer le mot de passe root dans le micrologiciel\u00a0: il lui suffit d\u2019intercepter le trafic entre le chargeur et le cloud, d\u2019acc\u00e9der \u00e0 l\u2019appareil, puis d\u2019attaquer d\u2019autres appareils sur le m\u00eame r\u00e9seau par son interm\u00e9diaire \u2013 ce qui met en p\u00e9ril l\u2019ensemble de l\u2019infrastructure domestique.<\/p>\n Mais malgr\u00e9 les failles, le bol est encore plein de surprises. La mangeoire Dogness peut se connecter \u00e0 Amazon Alexa pour une commande vocale. Pratique. N\u2019est-ce pas ? Il suffit de dire \u00ab\u00a0Nourrir !\u00a0\u00bb \u00e0 Alexa. Vous n\u2019avez m\u00eame pas besoin de sortir votre t\u00e9l\u00e9phone.<\/p>\n Une fois de plus, comme vous pouvez l\u2019imaginer, une s\u00e9curit\u00e9 aussi laxiste de la part des d\u00e9veloppeurs a des cons\u00e9quences. L\u2019appareil re\u00e7oit les commandes d\u2019Alexa via MQTT (Message Queuing Telemetry Transport), et les identifiants de connexion sont \u00e0 nouveau \u00e9crits en clair directement dans le fichier ex\u00e9cutable. En d\u2019autres termes, une fois que vous avez connect\u00e9 votre mangeoire \u00e0 Alexa pour la commande vocale, ce n\u2019est plus vraiment votre<\/em> mangeoire.<\/p>\n En se connectant au serveur MQTT, un pirate peut rapidement collecter les identifiants de tous les appareils similaires connect\u00e9s au serveur \u2013 c\u2019est-\u00e0-dire tous les mangeoires dont les propri\u00e9taires ont d\u00e9cid\u00e9 d\u2019utiliser la commande vocale. Ensuite, le cybercriminel peut envoyer n\u2019importe quelle commande vocale disponible sur le serveur MQTT \u00e0 n\u2019importe quelle mangeoire Dogness connect\u00e9e \u00e0 Alexa et dont l\u2019identifiant est connu.<\/p>\n Un cybercriminel serait en mesure d\u2019envoyer des commandes pour modifier l\u2019horaire d\u2019alimentation et les quantit\u00e9s de nourriture mesur\u00e9es (accordant \u00e0 votre animal un festin digne d\u2019un roi ou un je\u00fbne semblable \u00e0 celui de J\u00e9sus). Un autre effet secondaire est qu\u2019un pirate pourrait envoyer des commandes sp\u00e9cialement form\u00e9es \u00e0 la mangeoire de fa\u00e7on r\u00e9p\u00e9t\u00e9e, rendant ainsi l\u2019interface de commande vocale inop\u00e9rante.<\/p>\n Au fur et \u00e0 mesure que l\u2019\u00e9tude avan\u00e7ait, de nouvelles surprises nous attendaient en ce qui concerne le t\u00e9l\u00e9chargement de la vid\u00e9o vers le cloud, \u00e0 partir duquel vous pouvez la diffuser sur votre t\u00e9l\u00e9phone. Bien que l\u2019application mobile se connecte au serveur \u00e0 l\u2019aide du protocole s\u00e9curis\u00e9 HTTPS, il s\u2019est av\u00e9r\u00e9 que le chargeur lui-m\u00eame transmettait les donn\u00e9es au cloud sans aucun cryptage \u2013 via le bon vieux HTTP. De plus, l\u2019identifiant de l\u2019appareil et la cl\u00e9 de t\u00e9l\u00e9chargement (cod\u00e9e en dur dans le code binaire) sont transmis au serveur en clair.<\/p>\n \u00c9tant donn\u00e9 que la cam\u00e9ra d\u2019alimentation est con\u00e7ue pour enregistrer et transmettre continuellement des vid\u00e9os au serveur, cette vuln\u00e9rabilit\u00e9 permet aux attaquants de voir et d\u2019entendre tout ce qui se passe dans le champ de vision de la cam\u00e9ra.<\/p>\n Enfin, la cerise sur le g\u00e2teau, ou plut\u00f4t la cr\u00e8me que le chat a re\u00e7ue\u00a0: le processus de mise \u00e0 jour du micrologiciel \u2013 le moyen de r\u00e9soudre les probl\u00e8mes susmentionn\u00e9s \u2013 est lui-m\u00eame non s\u00e9curis\u00e9\u00a0! Pour effectuer la mise \u00e0 jour, la mangeoire t\u00e9l\u00e9charge un fichier d\u2019archive contenant le nouveau micrologiciel \u00e0 partir du serveur de mise \u00e0 jour via le protocole HTTP, qui n\u2019est pas s\u00fbr. Certes, l\u2019archive est prot\u00e9g\u00e9e par un mot de passe, mais, comme vous l\u2019avez probablement d\u00e9j\u00e0 devin\u00e9, ce mot de passe est \u00e9crit en clair dans l\u2019un des scripts de mise \u00e0 jour. L\u2019URL \u00e0 partir de laquelle la derni\u00e8re version du micrologiciel est t\u00e9l\u00e9charg\u00e9e est g\u00e9n\u00e9r\u00e9e sur la base de la r\u00e9ponse re\u00e7ue du serveur de mise \u00e0 jour, dont l\u2019adresse est, c\u2019est vrai, int\u00e9gr\u00e9e dans le micrologiciel existant.<\/p>\n Il n\u2019y a pas de signatures num\u00e9riques ni d\u2019autres m\u00e9thodes de v\u00e9rification du micrologiciel\u00a0: l\u2019appareil t\u00e9l\u00e9charge l\u2019archive contenant le nouveau micrologiciel par un canal non crypt\u00e9, la d\u00e9compresse \u00e0 l\u2019aide du mot de passe int\u00e9gr\u00e9 (et commun \u00e0 tous les appareils) et l\u2019installe rapidement. Cela signifie qu\u2019un pirate peut potentiellement modifier le micrologiciel et t\u00e9l\u00e9charger tout ce qu\u2019il souhaite dans l\u2019appareil, en y ajoutant des fonctions inattendues et non d\u00e9sir\u00e9es.<\/p>\n Dans un monde id\u00e9al, toutes ces failles de s\u00e9curit\u00e9 auraient \u00e9t\u00e9 corrig\u00e9es par le fabricant du chargeur gr\u00e2ce \u00e0 une mise \u00e0 jour opportune du micrologiciel, avant que les pirates n\u2019en prennent connaissance. Dans la r\u00e9alit\u00e9, nous avons signal\u00e9 \u00e0 plusieurs reprises ces failles au fabricant, mais nous n\u2019avons re\u00e7u aucune r\u00e9ponse \u2013 depuis octobre\u00a02022. Pendant ce temps, toutes les vuln\u00e9rabilit\u00e9s que nous avons trouv\u00e9es sont toujours pr\u00e9sentes dans les mangeoires intelligentes Dogness vendues au public. Cela constitue une menace s\u00e9rieuse pour le bien-\u00eatre des animaux de compagnie et la vie priv\u00e9e de leurs propri\u00e9taires.<\/p>\n Nous vous recommandons de lire notre guide d\u00e9taill\u00e9 sur la mise en place d\u2019un syst\u00e8me de s\u00e9curit\u00e9 pour les maisons intelligentes<\/a>. La plupart des conseils qui y sont prodigu\u00e9s s\u2019appliquent \u00e9galement aux probl\u00e8mes li\u00e9s \u00e0 l\u2019alimentation intelligente d\u00e9crits ci-dessus. Quoi qu\u2019il en soit, voici quelques conseils simples destin\u00e9s sp\u00e9cifiquement aux propri\u00e9taires de mangeoires Dogness\u00a0:<\/p>\n Les mangeoires intelligentes ont \u00e9t\u00e9 invent\u00e9es pour faciliter la vie des propri\u00e9taires d’animaux de compagnie. Cependant, leurs vuln\u00e9rabilit\u00e9s menacent non seulement la vie priv\u00e9e des propri\u00e9taires, mais aussi la sant\u00e9 de leurs animaux.<\/p>\n","protected":false},"author":2742,"featured_media":20765,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[87,1098,950,204,124,61,632,227,135],"class_list":{"0":"post-20764","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-conseils","9":"tag-ido","10":"tag-maison-intelligente","11":"tag-menaces","12":"tag-piratage","13":"tag-securite","14":"tag-technologies","15":"tag-vie-privee","16":"tag-wi-fi"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pet-feeders-vulnerabilities\/20764\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/pet-feeders-vulnerabilities\/25823\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/pet-feeders-vulnerabilities\/21264\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/pet-feeders-vulnerabilities\/10789\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/pet-feeders-vulnerabilities\/28521\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/pet-feeders-vulnerabilities\/26122\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/pet-feeders-vulnerabilities\/26472\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/pet-feeders-vulnerabilities\/28954\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/pet-feeders-vulnerabilities\/27872\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/pet-feeders-vulnerabilities\/35605\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/pet-feeders-vulnerabilities\/11557\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/pet-feeders-vulnerabilities\/48461\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/pet-feeders-vulnerabilities\/21462\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/pet-feeders-vulnerabilities\/30282\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/pet-feeders-vulnerabilities\/34153\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/pet-feeders-vulnerabilities\/26439\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/pet-feeders-vulnerabilities\/32132\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/pet-feeders-vulnerabilities\/31816\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/menaces\/","name":"menaces"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20764","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2742"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20764"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20764\/revisions"}],"predecessor-version":[{"id":20767,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20764\/revisions\/20767"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20765"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20764"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20764"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20764"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Bol non \u00e9tanche<\/h2>\n
La racine du probl\u00e8me<\/h2>\n
Le cryptage, \u00e7a vous dit quelque chose\u00a0?<\/h2>\n
Alexa, aboie\u00a0!<\/h2>\n
Le streaming \u2013 que vous le vouliez ou non<\/h2>\n
Un mat\u00e9riel pas si solide que \u00e7a<\/h2>\n
Comment rester en s\u00e9curit\u00e9\u00a0?<\/h2>\n
\n