Smart Home et sécurité, un échec pour Samsung Smarthings

Dans le cadre du 37ème congrès scientifique de l’IEE sur la sécurité et la vie privée, des chercheurs se sont intéressés aux failles de la plateforme Samsung Smarthings. Présenté au grand salon high-tech IFA en 2015, le hub numérique Smarthings propose de contrôler tous les accessoires domotiques via smartphone. Bien que l’application fasse rêver, elle contient des défauts qui font de l’habitat une cible parfaite pour les hackers. 

Deux chercheurs de l’université du Michigan, Earlence Fernandes et Atul Prakash, ont mené des tests sur la plateforme Smarthings. Un travail ardu pour ces chercheurs et Jaeyong Jung (employé de Microsoft), qui ont basé leur analyse sur 499 applications Smarthings et 132 dispositifs, servant à l’analyse des données. Sachant qu’ils ont dû aussi s’appuyer sur un environnement cloud fermé et des protocoles tels que ZigBee ou Z-Wafe pour assurer l’interopérabilité des objets connectés.

Hacker Samsung Smarthings, un jeu d’enfant ?

Les trois chercheurs se sont appuyés sur un environnement cloud fermé et des protocoles tels que ZigBee ou Z-Wafe pour assurer l’interopérabilité des objets connectés. Une fois l’application téléchargée et l’installation réalisée, Smarthings expose l’ensemble des dispositifs de la maison pouvant être utilisés avec l’application. En fournissant de tels privilèges, la plateforme leur a permis de déclencher à distance l’alarme associée à un détecteur de fumée, désactiver l’extinction automatique de l’éclairage destiné à dissuader les voleurs en cas d’absence, et même pirater le verrouillage d’une porte. Bref, en confiant votre maison à Samsung, vous risquez le cambriolage. Rien de très étonnant quand on sait que l’essor de l’IoT a accompagné la hausse des cyber-attaques.

La faute aux applications

Pirater le hub Samsung Smarthings ne s’est pas révélé très compliqué, en partie grâce (ou à cause, selon le point de vue) aux applications. 55% d’entres elles requièrent plus de permissions qu’elles n’en auraient réellement besoin tandis que 42% possèdent des droits non explicitement spécifiés à l’utilisateur. Comme celui d’accéder à tous les messages émis par un dispositif, même si l’application n’a accès qu’à l’une des fonctions de l’appareil connecté. De même, il suffit d’un identifiant d’appareil facilement récupérable pour qu’une application sans aucune permission puisse accéder.

Les chercheurs ont également trouvé un code secret dans une application qui leur a permis de mettre une backdoor dans une serrure électronique. Et ce, grâce à une faille de type « open redirect », soit la technique du phishing. Par l’envoi d’un email au nom du service client SmartThings, la victime reçoit un lien où elle renseigne ses identifiants qui sont communiqués aux pirates, et leur donnent ainsi accès à l’administration cloud en ajoutant un code PIN.

 

Cliquez pour commenter

Laisser un commentaire

ARTICLES SIMILAIRES

Arlo Secure : quelles caméras valent vraiment le coût ?

Arlo est un acteur incontournable sur le marché des équipements pour la maison intelligente.  Il

20 juin 2026

Le smartphone, télécommande universelle de la maison connectée et des loisirs mobiles

Le téléphone que chacun garde au fond de sa poche est devenu une véritable télécommande

16 juin 2026

Maison connectée : les objets qui facilitent la vie quotidienne

Les technologies domotiques insufflent un confort absolu au cœur de votre foyer pour embellir vos

12 juin 2026

Test de l’Apple HomePod mini : que vaut cette petite enceinte connectée ?

Test de l’Apple HomePod mini : que vaut cette petite enceinte connectée ?

Apple relance sa participation sur le marché des enceintes connectées avec l’Apple HomePod mini, un

5 mai 2026

Les murs ont des oreilles (et des algorithmes) : l’envers du décor de la maison connectée

Il y a un équilibre fragile entre maison connectée et vie privée. Effectivement, vos objets

20 février 2026

Choisir et installer son thermostat connecté avec son fournisseur d’énergie

Vous rentrez du travail un soir d’hiver, un peu plus tôt que d’habitude, et la

15 janvier 2026