Deux chercheurs piratent un thermostat connecté avec un ransomware

Pour démontrer la vulnérabilité de certains appareils IoT, deux chercheurs ont utilisé un ransomware pour infiltrer le système d’un thermostat connecté. De genre de démonstration devrait faire réagir les fabricants. 

Si vous avez déjà eu affaire à un ransomware avant, vous savez à quel point il peut être destructeur. Il détient votre ordinateur et vos fichiers en otage et vous demande une rançon payée en Bitcoin pour en reprendre le contrôle. Un ransomware, ou rançongiciel, est un logiciel malveillant qui s’empare de vos données personnelles puis vous demande de l’argent en échange d’une clé pour les récupérer.

Habituellement rencontrés sur des ordinateurs ou des smartphones, les ransomware semblent facilement pouvoir atteindre l’Internet des Objets.

Démontrer une vulnérabilité pour faire réagir

Andrew Tierney et Ken Munro, deux chercheurs travaillant pour la société de sécurité informatique Pen Partners Test, on fait la démonstration du premier ransomeware au monde sur un thermostat intelligent. Cette démonstration a eu lieu samedi dernier, lors de la DefCon, une conférence sur la sécurité qui a eu lieu à Las Vegas.

Le thermostat connecté en Wi-Fi que les chercheurs ont ciblé est en réalité un ordinateur Linux. Il permet à l’utilisateur de télécharger des fonds d’écran et configurer ses paramètres par le bias d’une carte SD. Les deux chercheurs ont donc utilisé une carte SD pour installer un programme malveillant sur l’appareil.

HackedThermostat-796x483

Ils ont profité d’un bug dans la gestion des fichiers. En effet, l’appareil ne prête pas attention aux fichiers stockés et ne dispose d’aucun contrôle de sécurité. Comme ils l’ont démontré, un hacker aurait le contrôle total de l’appareil à ce stade. Toutefois, contrairement à un piratage via le Cloud, le hacker doit avoir un accès physique pour infecter le dispositif, ou tromper le propriétaire pour qu’il infecte son propre thermostat.

Un problème facile à régler

Les noms du fabricant et de l’appareil piraté n’ont pas été annoncés publiquement. Les chercheurs ont identifié la vulnérabilité de l’appareil deux jours seulement avant la conférence. En conséquent, ils n’ont pas été en mesure de contacter le fabricant afin de leur conseiller un correctif. Pour Andrew Tierney et Ken Munro, ce problème serait facile à régler.

Cette expérience illustre parfaitement la vulnérabilité inquiétante des dispositifs IoT grand public. Beaucoup d’entre eux sont vendus avec des failles. Entre des connexions Wi-Fi laissant des mots de passe s’échapper sur le réseau, et des réfrigérateurs intelligents qui diffusent l’intégralité des informations d’identifications Gmail de l’utilisateur, de nombreux problèmes ont déjà été rencontrés avec des appareils IoT. 

thermostat-nest-1024x576

Comme nous le savons, le nombre de fabricants de produits IoT prolifère et les appareils IoT ménagers sont de plus en plus courants. Ce type de piratage est seulement l’une des formes de piratage que l’IoT facilitera. La question de la sécurité doit être prise au sérieux par les fabricants. Peut-être que des actions comme celle de ces deux chercheurs forceront les fabricants à ne pas vendre leurs produits avant d’avoir étudié toutes les possibilités pour le sécuriser.

Cliquez pour commenter

Laisser un commentaire

ARTICLES SIMILAIRES

Soldes d’été NordVPN 2026 : trouvez la formule qui vous correspond avant le 28 juillet

3,37 euros, 4,33 euros ou 8,19 euros par mois : les Soldes d’été NordVPN proposent

13 juillet 2026

La CISA s’appuie sur Claude Mythos d’Anthropic aux États-Unis

La Cybersecurity and Infrastructure Security Agency (CISA) adopte Claude Mythos, une intelligence artificielle sophistiquée développée

13 juillet 2026

L’IA comble les angles morts de la sécurité IoT

La sécurité des objets connectés (IoT) fait face à des limites majeures que l’intelligence artificielle

11 juillet 2026

La sécurité physique devient l’angle mort des réseaux IoT

Les réseaux d’objets connectés déploient aujourd’hui des milliards d’appareils en périphérie. Pourtant, une faille critique

10 juillet 2026

Accéder à Canal Plus (MyCanal) depuis l’étranger : comment faire ?

Accéder à Canal Plus (MyCanal) depuis l’étranger : comment faire ?

Pour regarder Canal Plus depuis l’étranger, il suffit généralement d’utiliser un VPN et d’obtenir une

4 juillet 2026

Nvidia veut faire de Halos un standard de sécurité robotique

La robotique industrielle et humanoïde entre dans une nouvelle ère sécurisée grâce à Nvidia. L’entreprise

26 juin 2026