La publication de la firme Check Point s’inscrit dans la suite de celle d’une équipe de chercheurs en sécurité issus d’universités en Israël et au Canada. En effet, c’est en 2017 que cette dernière a montré comment prendre le contrôle d'ampoules intelligentes et comment créer une réaction en chaîne qui peut se propager dans une ville moderne.
Leur publication soulevait une question intéressante : des pirates informatiques peuvent-ils combler le gap entre le réseau physique de l'Internet des objets (les ampoules) et le réseau informatique de nos maisons, de nos bureaux ou même des villes intelligentes à venir ? D’après ce qui ressort de la dernière note d’information de la firme de sécurité Check Point, la réponse est OUI.
La publication de Check Point porte sur des ampoules de la gamme Philips Hue. Elle met en avant une ouverture sur les réseaux d’entreprises et domestiques de potentielles victimes en s’appuyant, primo sur la possibilité de prendre à distance le contrôle d’une ampoule connectée et personnaliser son firmware (travaux des chercheurs publiés en 2017) et deuxio, sur une faille dans le protocole Zigbee.
En substance, l’attaque consiste (à partir de la prise de contrôle de l’ampoule) à contrôler à distance la couleur ou la luminosité de l’ampoule pour faire croire à l’utilisateur qu’il y a un souci. La manœuvre a pour effet de rendre l’ampoule inaccessible via l’application de contrôle de l’utilisateur qui va donc tenter une réinitialisation en la supprimant de l’application puis en demandant à la passerelle de contrôle de procéder à une nouvelle découverte. L’ampoule compromise est alors réintégrée dans le réseau. C’est alors que la vulnérabilité Zigbee entre en scène pour permettre de déclencher un débordement de tampon sur la passerelle ; les chercheurs y parviennent en envoyant une importante quantité de données. Le pirate installe ensuite un logiciel malveillant sur la passerelle, qui est à son tour connectée au réseau professionnel ou domestique cible. Le logiciel malveillant se reconnecte au pirate qui, à l'aide d'un exploit connu (tel que EternalBlue), peut alors infiltrer le réseau IP cible à partir de la passerelle pour diffuser des rançongiciels ou des spywares.
Ci-dessous, une vidéo qui montre comment les chercheurs en sécurité ont exploité les failles de la passerelle Philips Hue afin de s'infiltrer dans le réseau informatique de la victime, ce, pour ensuite s'attaquer à un ordinateur en son sein en utilisant l'exploit EternalBlue.
Check Point a mis Philips et Signify (propriétaire de la marque Philips Hue) au courant de ces développements en novembre 2019. Signify a confirmé l'existence de la vulnérabilité dans leur produit, et a publié une version de firmware corrigée (Firmware 1935144040) qui est maintenant disponible sur leur site. Si la publication de Check Point porte sur des ampoules intelligentes Philips, il faut dire que la mention de vulnérabilités ZigBee étend ces exposés à d’autres marques. Attention donc aux utilisateurs de dispositifs Ring d’Amazon, SmartThings de Samsung ou encore Xfinity Home de Comcast… Check Point n’a pas souhaité apporter plus de détails techniques pour permettre aux possesseurs des dispositifs concernés de pouvoir effectuer la mise à jour.
Source : Check Point
Et vous ?
Qu’en pensez-vous ?
Faites-vous usage d’ampoules connectées ? Voyez-vous un quelconque intérêt à le faire ?
De quelles précautions d’usage vous entourez-vous pour ne pas être victime d’attaques dans ce genre ?
Voir aussi :
IoT : la Californie est sur le point de prendre une loi pour réglementer les objets connectés, et deviendra ainsi le premier État américain à le faire
IoT : des pirates s'appuient sur le thermostat connecté d'un aquarium pour pénétrer le réseau d'un casino, et extirper 10 Go de data
Une faille de sécurité de dispositifs IdO rend un demi-milliard d'appareils en entreprise vulnérables, les imprimantes sont aussi un vecteur d'attaque
IoT : plusieurs marques de caméras sur IP sont vulnérables à des attaques, d'après une publication de la firme de sécurité F-Secure
L'Inde est accusée d'être un « Etat de surveillance » après avoir autorisé 10 agences fédérales, à fouiner dans n'importe quel ordinateur