Pour démontrer la vulnérabilité de certains appareils IoT, deux chercheurs ont utilisé un ransomware pour infiltrer le système d'un thermostat connecté. De genre de démonstration devrait faire réagir les fabricants.
Si vous avez déjà eu affaire à un ransomware avant, vous savez à quel point il peut être destructeur. Il détient votre ordinateur et vos fichiers en otage et vous demande une rançon payée en Bitcoin pour en reprendre le contrôle. Un ransomware, ou rançongiciel, est un logiciel malveillant qui s'empare de vos données personnelles puis vous demande de l'argent en échange d'une clé pour les récupérer.
Habituellement rencontrés sur des ordinateurs ou des smartphones, les ransomware semblent facilement pouvoir atteindre l'Internet des Objets.
Démontrer une vulnérabilité pour faire réagir
Andrew Tierney et Ken Munro, deux chercheurs travaillant pour la société de sécurité informatique Pen Partners Test, on fait la démonstration du premier ransomeware au monde sur un thermostat intelligent. Cette démonstration a eu lieu samedi dernier, lors de la DefCon, une conférence sur la sécurité qui a eu lieu à Las Vegas.
Le thermostat connecté en Wi-Fi que les chercheurs ont ciblé est en réalité un ordinateur Linux. Il permet à l'utilisateur de télécharger des fonds d'écran et configurer ses paramètres par le bias d'une carte SD. Les deux chercheurs ont donc utilisé une carte SD pour installer un programme malveillant sur l'appareil.
Ils ont profité d'un bug dans la gestion des fichiers. En effet, l'appareil ne prête pas attention aux fichiers stockés et ne dispose d'aucun contrôle de sécurité. Comme ils l'ont démontré, un hacker aurait le contrôle total de l'appareil à ce stade. Toutefois, contrairement à un piratage via le Cloud, le hacker doit avoir un accès physique pour infecter le dispositif, ou tromper le propriétaire pour qu'il infecte son propre thermostat.
Un problème facile à régler
Les noms du fabricant et de l'appareil piraté n'ont pas été annoncés publiquement. Les chercheurs ont identifié la vulnérabilité de l'appareil deux jours seulement avant la conférence. En conséquent, ils n'ont pas été en mesure de contacter le fabricant afin de leur conseiller un correctif. Pour Andrew Tierney et Ken Munro, ce problème serait facile à régler.
Cette expérience illustre parfaitement la vulnérabilité inquiétante des dispositifs IoT grand public. Beaucoup d'entre eux sont vendus avec des failles. Entre des connexions Wi-Fi laissant des mots de passe s'échapper sur le réseau, et des réfrigérateurs intelligents qui diffusent l'intégralité des informations d'identifications Gmail de l'utilisateur, de nombreux problèmes ont déjà été rencontrés avec des appareils IoT.
Comme nous le savons, le nombre de fabricants de produits IoT prolifère et les appareils IoT ménagers sont de plus en plus courants. Ce type de piratage est seulement l'une des formes de piratage que l'IoT facilitera. La question de la sécurité doit être prise au sérieux par les fabricants. Peut-être que des actions comme celle de ces deux chercheurs forceront les fabricants à ne pas vendre leurs produits avant d'avoir étudié toutes les possibilités pour le sécuriser.
- Partager l'article :
