Les ampoules connectées, nouvelles cibles des pirates informatiques ?
Des chercheurs ont découvert qu’il est possible de pirater un certain type d’ampoule connectée en exploitant des failles laisser béantes par le fabricant. Tous les objets connectés pourraient être concernés ?
Des experts en sécurité informatique ont démontré qu’il est possible de pirater des ampoules connectées, et tout particulièrement le modèle Hue de Philips. Ils expliquent leur méthode dans une étude publiée il y a quelques jours. Si prendre le contrôle de l’éclairage parait anodin, imaginez ce qu’il serait possible de faire si tous les objets connectés étaient tout aussi vulnérables.
Les ampoules connectées à la merci des hackers
Deux chercheurs en sécurité informatique, Colin O’Flynn, de la Dalhousie University de Halifax, au Canada, et Eyal Ronen, du Weizmann Institute of Technology en Israel, sont parvenus à prendre le contrôle à distance d’ampoules intelligentes Hue, de la marque Philips. Pour ce faire, les experts ont utilisé le protocole ZigBee qui permet de faire communiquer entre eux différents objets à courte distance. Ils ont ciblé une ampoule et y ont envoyé un ver par l’intermédiaire d’une fausse mise à jour. Le ver se propage alors d’une ampoule à l’autre en utilisant le protocole ZigBee.
Les hackers montrent les résultats de leur piratage dans une vidéo. Les ampoules en question avaient été installées dans un immeuble de Beer-Sheva, en Israël, et voici le résultat :
Les objets connectés, un danger potentiel
« Nous nous sommes contentés d’utiliser un équipement disponible à quelques centaines de dollars, avant de parvenir à trouver cette faille, sans constater de mise à jour », indiquent les chercheurs. « Cela démontre une fois de plus à quel point il est difficile d’assurer la sécurité de tels objets, même pour une grande entreprise qui a recours à des techniques standards de cryptographie pour protéger un produit à succès ».
Les chercheurs avaient bien entendu informé Philips de leur découverte. Le fabricant avait alors aussitôt élaboré une mise à jour pour combler cette faille. Un patch que les utilisateurs de ces produits peuvent télécharger.
De plus en plus nombreux, les objets connectés pourraient devenir la nouvelle cible des hackers. Preuve en est, l’attaque du fournisseur de DNS américain, Dyn, il y a 2 semaines. Les pirates avaient utilisé les objets connectés pour créer un botnet, de nombreux sites web avaient été affectés.