Alerte : un ransomware fonctionnel pour les thermostats connectés !

Un ransomware pour thermostat connecté a été démontré à la DefCon24

Dans le cadre de la conférence DefCon, deux hackers ont démontré la possibilité de prendre le contrôle à distance d’un thermostat connecté. Grâce à un ransomware, la température peut-être augmentée au maximum jusqu’à ce que les utilisateurs payent une rançon pour débloquer l’appareil…

La sécurité de l’internet des objets inquiète les spécialistes depuis plusieurs années. La crainte qu’un hacker puisse prendre le contrôle d’un appareil à distance est angoissante, à l’heure où les maisons sont de plus en plus connectées. Les attaques virtuelles pourraient désormais avoir un impact sur nos réalités

Installez le VPN le plus RAPIDE de la planète !
Pour 3,11€ par mois seulement

Un thermostat hacké en quelques jours seulement

Cette inquiétude est désormais fondée. Dans le cadre de la DefCon24, les hackers Andrew Tierney et Ken Munro de PenTest Partners ont démontré la possibilité de hacker un thermostat connecté. Cette tâche ne leur a pris que quelques jours.

Le nom du modèle hacké n’est pas révélé

Ils sont parvenus à leurs fins juste avant la conférence, et n’ont donc pas révélé le modèle et la marque de l’appareil. Les deux experts préfèrent avertir le constructeur de cette vulnérabilité avant qu’il ne soit trop tard. En tous les cas, la démonstration a été effectuée sur un thermostat fonctionnant sous une version modifiée de Linux. Il arbore un grand écran LCD, et peut accueillir une carte SD.

Un ransomware terrifiant

defcon-thermostat

Le thermostat a été hacké à l’aide d’un ransomware conçu sur mesure. Ce logiciel malfaisant permet d’augmenter la température à 37°, puis demande à l’utilisateur un code PIN pour le débloquer. Ce code change toutes les 30 secondes. Pour obtenir ce code PIN, l’usager doit obligatoirement payer un Bitcoin.

En utilisant le même logiciel, il serait possible pour le cybercriminel d’attaquer à la fois le thermostat et l’air conditionné. Le propriétaire de la maison connectée n’aurait alors d’autre choix que de payer la rançon, pour ne pas avoir à payer une facture astronomique

Une attaque locale, exécutable à distance

Pour l’heure, les hackers ont utilisé une carte SD pour injecter du code. Il s’agit donc d’une attaque locale, permettant de s’octroyer les privilèges root du thermostat. Grâce à ces privilèges, les hackers peuvent désactiver ou activer l’alarme, et augmenter ou réduire la température à l’extrême.

Cependant, il est théoriquement possible de prendre le contrôle du thermostat sans interaction physique. Initialement, le port SD permet à l’utilisateur de charger des paramètres personnalisés ou des fonds d’écran. Cependant, l’appareil ne vérifie pas vraiment la nature des fichiers chargés. Il serait donc possible de dissimuler un malware dans une application ou une image pour inciter les usagers à le transférer via une carte SD.

Compliqué à mettre en place, ce ransomware n’en demeure pas moins redoutable. Les victimes n’ont a priori pas d’autre choix que de payer, et risquent de réagir de façon instinctive face à une forte chaleur ou un froid glacial. On ne peut qu’espérer qu’aucun cybercriminel ne découvre la faille exploitée, et que les constructeurs s’empressent de renforcer la sécurité des objets connectés.

Avez-vous confiance en vos objets connectés ? 

 

  • HAGER Bandeau alerte tableau électrique connecté 2 rangées 13M Hager GC132
    Le bandeau Hager gc132 est un accessoire de tableau électrique Gamma Hager qui a pour rôle de vous informer sur votre smartphone de l'état de vos circuits électriques. L'information sur l'état du disjoncteur générale ou un disjoncteur d'un circuit électrique de la maison est donnée en temps réel.
    353,86 €
  • HAGER Bandeau alerte tableau électrique connecté 1 rangée 13M Hager GC131
    Cet accessoire est une révolution dans l'installation électrique pour votre maison. le rôle principale de ce bandeau alerte connecté pour tableau électrique hager 13 modules est de vous informer via votre smartphone d'une coupure générale sur votre tableau électrique ou simplement la coupure sur un circuit
    206,41 €

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *