in

DEF CON : de nombreuses serrures connectées piratées !

De nombreuses serrures connectées vulnérables à la DEF CON

Dans le cadre de la conférence de sécurité américaine DEF CON, plus de 23 appareils connectés ont été piratés par des hackers. Parmi ces appareils, de nombreuses serrures connectées de marques populaires sont concernées par des failles critiques permettant un contrôle total à distance. 

Pour la deuxième année consécutive, la DEF CON a accueilli l'IoT Village. Dans le cadre de cet événement ponctuel, des hackers et autres professionnels de la cybersécurité s'emploient à découvrir des failles au sein de différents appareils connectés.

Durant cette édition 2016, plus de 47 failles ont été découvertes. Ces failles affectent 23 appareils différents en provenance de 21 fabricants. Ces vulnérabilités ont été présentées durant les diverses conférences, pendant des ateliers et dans le cadre de concours organisés sur place.

De nombreuses serrures connectées vulnérables

serrures-connectees

Parmi ces appareils, de nombreuses serrures et cadenas connectés sont concernés. On compte des modèles de marques populaires comme Quicklock, iBlulock, Plantraco, Ceomate, Elecycle, Vians, Lagute, Okidokeys ou Danalock.

À l'origine de ces failles, on trouve bien souvent des décisions négligentes concernant les systèmes de sécurité des objets connectés. Par exemple, des systèmes de mots de passe en texte brut non chiffré, ou programmés en dur, permettent de gérer la mémoire tampon ou d'injecter des commandes

Les appareils concernés s'avèrent hautement vulnérables au reniflage de mot de passe, permettant de récupérer un mot de passe en analysant les données transmises par un objet connecté. De même, des failles de rejeu permettent de répéter une commande effectuée par l'utilisateur pour déclencher un événement comme l'ouverture de la serrure.

Les serrures connectées August sont à éviter

august-asl

De même, il est possible d'exploiter un accès invité à la serrure connectée August, pour le convertir en un accès administrateur impossible à révoquer. En prenant le contrôle du smartphone de l'utilisateur momentanément, il est également possible de s'octroyer un accès administrateur sur le long terme.

Selon le chercheur à l'origine de cette découverte, le modèle Augut ASL-01 présente une faille de sécurité encore plus inquiétante. Si vous achetez un modèle d'occasion, le précédent propriétaire peut aisément savoir où vous habitez et prendre le contrôle de votre domicile. On peut imaginer la mise en place de véritables pièges, avec des criminels mettant en vente sur eBay des serrures connectées August dans le seul but de pouvoir ensuite attaquer les nouveaux acheteurs.

DEF CON : les constructeurs doivent faire des efforts de sécurité

defcon

La découverte de ces différentes failles démontre que les constructeurs d'objets connectés ne prennent pas encore suffisamment de mesures pour assurer la sécurité de leurs différents appareils. Outre les serrures connectées, les failles découvertes concernent un panneau solaire, un thermostat connecté et même un fauteuil roulant connecté !

Au total, en deux ans, l'IoT Village de la DEF CON a permis de mettre en lumière 113 vulnérabilités. Face à ce constat amer, les constructeurs d'objets connectés devront mettre les bouches doubles en matière de sécurité pour convaincre les consommateurs de leur accorder leur confiance.

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *