{"id":22820,"date":"2025-05-28T17:08:43","date_gmt":"2025-05-28T15:08:43","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22820"},"modified":"2025-05-28T17:08:43","modified_gmt":"2025-05-28T15:08:43","slug":"vulnerability-in-smart-home-control-app","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/vulnerability-in-smart-home-control-app\/22820\/","title":{"rendered":"Des maisons pas si intelligentes"},"content":{"rendered":"

Les maisons connect\u00e9es d\u2019aujourd\u2019hui n\u2019ont rien \u00e0 voir avec la science-fiction des films de la fin des ann\u00e9es\u00a090<\/a>. C\u2019est une r\u00e9alit\u00e9 pour presque tous ceux qui vivent dans les grandes villes. Il est difficile de trouver un appartement moderne sans prises \u00e9lectriques, haut-parleurs ou t\u00e9l\u00e9viseurs intelligents. Dans les constructions neuves, il arrive que les maisons soient connect\u00e9es<\/em> d\u00e8s leur conception, ce qui donne naissance \u00e0 des ensembles r\u00e9sidentiels enti\u00e8rement connect\u00e9s<\/em>. Les r\u00e9sidents peuvent g\u00e9rer non seulement les appareils install\u00e9s dans leur appartement, mais aussi les syst\u00e8mes externes, comme les interphones, les cam\u00e9ras, les portails, les compteurs d\u2019\u00e9nergie et les alarmes incendie, le tout \u00e0 partir d\u2019une seule application.<\/p>\n

Mais que se passe-t-il s\u2019il y a une faille de s\u00e9curit\u00e9 dans une application de ce type\u00a0? Nos experts de l\u2019\u00e9quipe Global Research and Analysis Team (GReAT) connaissent la r\u00e9ponse. Ils ont d\u00e9couvert une vuln\u00e9rabilit\u00e9 dans l\u2019application Rubetek Home et \u00e9tudi\u00e9 les risques de s\u00e9curit\u00e9 pour les propri\u00e9taires de maisons connect\u00e9es, qui, heureusement, ne se sont pas concr\u00e9tis\u00e9s.<\/p>\n

En quoi consistait cette vuln\u00e9rabilit\u00e9<\/h2>\n

Cette vuln\u00e9rabilit\u00e9 provenait du fait que l\u2019application envoyait des donn\u00e9es sensibles pendant le processus de connexion. Les d\u00e9veloppeurs ont utilis\u00e9 l\u2019API Telegram Bot pour collecter des donn\u00e9es analytiques et envoyer des fichiers d\u2019information de d\u00e9bogage des utilisateurs vers un chat priv\u00e9 de l\u2019\u00e9quipe de d\u00e9veloppement via un bot Telegram.<\/p>\n

Le probl\u00e8me \u00e9tait que ces fichiers, en plus des informations syst\u00e8me, contenaient les donn\u00e9es personnelles des utilisateurs et, plus important encore, les jetons d\u2019actualisation n\u00e9cessaires pour autoriser l\u2019acc\u00e8s aux comptes. Les attaquants potentiels pouvaient se transmettre tous ces fichiers \u00e0 eux-m\u00eames en utilisant le m\u00eame bot Telegram. Pour ce faire, ils pouvaient obtenir son jeton Telegram et l\u2019identifiant de discussion \u00e0 partir du code de l\u2019application, puis parcourir les num\u00e9ros s\u00e9quentiels des messages contenant les fichiers.<\/p>\n

R\u00e9cemment, l\u2019enregistrement d\u2019\u00e9v\u00e9nements via Telegram est devenu de plus en plus populaire. Il est pratique et rapide de recevoir des notifications importantes dans une application de messagerie. Toutefois, cette approche appelle \u00e0 la prudence\u00a0: nous recommandons de ne pas transmettre de donn\u00e9es sensibles dans les journaux d\u2019application, mais \u00e9galement d\u2019interdire la copie et le transfert de contenu du groupe dans les param\u00e8tres de Telegram ou d\u2019utiliser le param\u00e8tre protect_content<\/em> lors de l\u2019envoi d\u2019un message par l\u2019interm\u00e9diaire d\u2019un bot Telegram.<\/p>\n

Remarque importante\u00a0: nous avons imm\u00e9diatement contact\u00e9 Rubetek apr\u00e8s avoir d\u00e9couvert la vuln\u00e9rabilit\u00e9. <\/em>Au moment de la publication de cet article, le probl\u00e8me avait \u00e9t\u00e9 corrig\u00e9.<\/em><\/p><\/blockquote>\n

Des pirates potentiels auraient pu acc\u00e9der aux donn\u00e9es que toutes les applications de l\u2019utilisateur envoyaient au d\u00e9veloppeur. La liste de ces donn\u00e9es est \u00e9poustouflante\u00a0:<\/p>\n