Selon l'équipe de recherche en cybersécurité vpnMentor, Orvibo, un fabricant de produits Smart Home chinois subit une fuite de données sur sa plateforme IoT depuis au moins deux semaines. En conséquence, plusieurs millions de mots de passe d'objets connectés sont exposés sur le Web à cause d'un serveur ElasticSearch sans protection.
L'équipe de chercheur de VpnMentor a fait une découverte qui ne rassure pas les possesseurs de produits Smart Home. Le fabricant chinois Orvibo gère aussi SmartMate, une plateforme IoT pour ses objets connectés.
Elle permet d'orchestrer des caméras de sécurité, des thermostats, des appareils de climatisation, des décodeurs, des systèmes de détection de présence, des prises intelligentes ou encore des serrures connectées. Bref, tout un tas d'équipements particulièrement sensibles.
Seulement, un serveur backend d'Orvibo s'avérait mal configuré. Il contenait une base de données ElasticSearch qui gérait les journaux de connexion qui n'était pas protégée par un mot de passe.
Un serveur à ne pas mettre dans toutes les mains
VPnMentor a détecté le problème à la mi-juin et a demandé l'aide deZDnet.com pour prévenir le fabricant chinois de produits Smart Home. Après deux semaines de relance, Orvibo n'a pas répondu. La faille reste d'actualité, capture d'écran à l'appui.
La base de données contient souvent les mots de passe des objets connectés,des informations de paramétrages et de programmation, mais aussi certains noms de famille. ZDnet a analysé les différentes entrées écrites en chinois. L'on trouve également des clients japonais, thaïlandais, américains, anglais, mexicains, brésiliens, australiens et français.
Outre ses informations d'ordre privées, l'on peut consulter les codes de réinitialisation des mots de passe (!). Cependant, Orvibo a fait l'effort de chiffrer les mots de passe grâce à l'algorithme de masquage MD5 sous sa forme “unsalt”. Or celui-ci est depuis réputé pour ne pas résister aux attaques de force brute. Les spécialistes le considèrent trop rapide à déchiffrer.
Le spécialiste de la Smart Home Orvibo n'a pas corrigé la faille
Avec un simple logiciel de déchiffrage, un apprenti hacker pourrait prendre le contrôle de plusieurs millions d'objets connectés. Et s'il n'arrive pas à les lire, il peut toujours activer les codes de réinitialisation qui eux ne sont pas protégés.
Une personne mal intentionnée l'utiliserait et changerait le mot de passe, puis l'adresse mail. Les chercheurs ont prouvé qu'ils pourraient espionner les possesseurs des produits Orvibo. Ils auraient alors accès aux images des caméras de sécurité et aux plannings des habitants d'un logement équipé.
Ce fichier serait donc une mine d'or pour des voleurs qui souhaiterait orchestrer leurs crimes. Selon ZDnet, l'on peut imaginer des dizaines d'autres formes d'abus. Le média recommande à Orvibo de protéger rapidement son serveur ElasticSearch et par extension les données de ses clients.
- Partager l'article :
