Un chercheur de la société de cybersécurité Tripwire a découvert une faille dans les produits Google Home et Chromecast. Par un simple script exécuté depuis un site Web, il est possible de localiser précisément le logement des propriétaires.
Jusqu'alors Google n'avait pas été impacté par des problèmes de cybersécurité concernant son assistant Google Home et son système de streaming vidéo Chromecast. Or, la découverte d'un chercheur de Tripwire change tout. Avec ces appareils, la peur des utilisateurs était que les cyberattaquants puissent récupérer leurs conversations vocales.
Craig Young, le chercheur en question, a prouvé qu'il était plus facile de géolocaliser très précisément (à 10 mètres près) le logement des propriétaires des Google Home et des Chromecast. En cause, une faille dans la protection des données personnelles qui n'est pas encore corrigée.
Google Home et Chromecast, des espions qui s'ignorent
Les informations de localisation peuvent être envoyées à site Web qui peut les conserver à l'insu des utilisateurs. Ensuite, le cyberattaquant demande aux Google Home et aux Chromecast la liste de réseaux WiFi du propriétaire des appareils. Avec ces données basées sur les adresses IP des appareils, il est donc possible de localiser un logement, mais aussi une personne pourvu qu'elle se soit connectée sur un de ces réseaux avec son smartphone.
Le chercheur de Tripwire a évoqué cette faille auprès des responsables des services clients de Google en mai dernier. La réponse de la firme fut pour le moins étonnante. On lui a expliqué que c'était une fonctionnalité, une volonté et non un bug. Cela ne serait pas réparé. Google Home ou ChromeCast peuvent en effet scanner les réseaux WiFi afin de faciliter la connexion. L'utilisateur n'a plus qu'à entrer son mot de passe. Or, les paramètres d'authentifications ne sont pas renforcés sur les appareils de la firme de Mountain View.
Craig Young déclare : « Je n'ai seulement testé que trois logements jusqu'à maintenant, mais à chaque fois le lieu indiqué correspondait à la bonne adresse. »
Le 18 juin dernier, Brian Krebs, le fondateur de KrebsOnSecurity, un site spécialisé dans les questions de cybersécurité a publié cette histoire. Il a interrogé le chercheur de Tripwire, puis s'est autorisé à contacter directement Google.
Brian Krebs, qui bénéficie d'une aura médiatique importante depuis sa découverte du Botnet Miraï, n'a pas entendu le même son de cloche. Les responsables de Google ont reconnu la faille et ont promis d'injecter un correctif par mise à jour dès la mi-juillet.
Un changement de mentalité à inculquer
La confirmation d'une telle faille de sécurité à peine un mois après l'application du RGPD (le règlement européen sur la protection des données) menace la confiance portée par les utilisateurs dans les Google Home et Chromecast. À juste titre, Noah Apthorpe, le directeur du département des sciences informatiques de l'université de Princeton interrogé par Wired, souligne que « les réseaux des domiciles ne peuvent plus être considérés comme des environnements de confiance ».
La multiplication de ce type de phénomène est un indicateur fort pour les entreprises conceptrices d'objets connectés et de box Internet. Elles doivent investir dans la cybersécurité, quitte à ralentir la commercialisation des nouveaux produits. Avec le RGPD, la notion de privacy by design devient obligatoire. Et ce ne sont pas des mises à jour à postériori qui empêcheront les utilisateurs de porter plainte contre les firmes.
- Partager l'article :
