Discussion :

[ram-0000]

C’est un fait, depuis quelques années maintenant, la domotique entre dans la maison avec tous les avantages et le confort que cela procure (fermeture des volets à distance) mais aussi ses inconvénients, les équipements doivent être reliés à Internet pour pouvoir être pilotés à distance et donc s’exposent à divers agresseurs.

C’est ce que vient de découvrir la marque de chaudières à gaz « Vaillant ». Les chaudières de type « ecoPower 1.0 » sont pilotables à travers Internet en utilisant une interface Web ou même une application sur iPad.

Il suffit de demander une URL particulière pour obtenir la liste des identifiants et mots de passe en clair et ainsi pouvoir prendre le contrôle sur la chaudière.

De plus, ces chaudières s’enregistrent sur un DNS dynamique géré par la société Vaillant. Il est ainsi relativement aisé de deviner et d'obtenir la liste des chaudières connectées par essais successifs.

En attendant, le constructeur demande tout simplement de débrancher l‘accès au réseau de la chaudière…

Sources :

• BHKW-bibliothek.de (allemand) ;
• The H (anglais).

Et vous, qu’en pensez vous ?

Pensez vous que la sécurité pourra être prise en compte dans tous ces équipements connectés ?

[transgohan]

Pensez vous que la sécurité pourra être prise en compte dans tous ces équipements connectés ?

Je suis plutôt surpris que cela ne soit pas le cas actuellement...
Il n'y a pas de "pourra" qui tienne selon moi.
C'est un peu comme si on décidait de commercialiser un coffre fort avec un trou derrière pour prendre un exemple extrême.

[Pierre Louis Chevalier]

C'est chouette les progrès de la domotique. Bientôt si tout est connecté et qu'il y à des failles de sécurité, les hackers pourront déclencher les Extincteur automatique à eau, mettre la musique à fond, mater ce qu'il y à sur les webcams, ouvrir les portes et les fenêtres, changer les heures des réveils, bref pleins de chouettes farces en perspectives...

[ram-0000]

...mater ce qu'il y à sur les webcams...

C'est déjà le cas, il y a une webcam d'un constructeur bien connu qui présente aussi une vulnérabilité qui permet de s'y connecter assez facilement.

[Pierre Louis Chevalier]

ok, tu à l'IP que je regarde ?

[sevyc64]

ok, tu à l'IP que je regarde ?

Tu es pas au courant ? c'est pourtant sur twitter et on en a parlé sur le net.

Pas assez surement, puisque depuis quasiment 2 ans que la faille est corrigée, bon nombre de webcam ne sont toujours pas patchées.

Tu as même un site pour les voir en mosaïques

[antoinev2]

C'était tellement prévisible... et ce n'est que le début.
C'est à croire que, pour que les entreprises prennent en compte la sécurité, il faudrait au minimum une loi qui liste un certain nombre de précautions que les entreprises seraient obligées de suivre, sous peine de très forte amende.
Et avec des contrôles réguliers.
La sécurité, ils s'en moquent et rien ne les fera se remettre en question.
Dans le domaine de la banque, par exemple : vous avez déjà essayé de dire à votre conseiller que les cartes bancaires avec paiement sans contact, c'est vulnérable? On vous répond presque que vous êtes parano, on vous fait bien comprendre que vous êtes un "chieur" et on vous dit que c'est ça ou rien.
Il faut forcer pour enfin obtenir le droit d'avoir une carte bancaire sans cette technologie. Bref, l'Anssi a de quoi faire et les vilains pirates ont de beaux jours devant eux.

[gangsoleil]

Bonjour,

La sécurité, ils s'en moquent et rien ne les fera se remettre en question.

Oui, ils s'en moquent. Mais petit a petit, de plus en plus de constructeurs vont devoir s'y mettre, car les attaques sont de plus en plus connues du grand public, et ca ecorne l'image, donc ca fait baisser les ventes (si si), donc ils s'y mettent.

Il y a pleins d'exemples plus ou moins absurdes qui sont regulierement mis en avant, et plus il y en aura, plus les failles vont devenir importantes, visibles, ... Jusqu'a ce qu'il y ait un (gros) soucis.

Dans la pub ou ils commandent les volets/garage/porte/autre a distance avec une tablette, vous avez vu une notion de securite ? J'ai passe quelques minutes sur le site, impossible de trouver autre chose que des videos de demonstration... Pourtant, il y a la toutes les commandes de la maison.

Dans le meme genre, il a ete demontre que les systemes sans clef des voitures (les cartes que l'on laisse dans son sac) sont de veritables passoires de securite : http://eprint.iacr.org/2010/332.pdf
Et pourtant, a ma connaissance, rien n'a change depuis la publication de cet article...

[Resume pour ceux qui ne veulent pas lire l'article :
Une clef de type carte dans une cuisine, pas loin de la fenetre. Il suffit d'un cable avec une antenne (figure 6) pour ouvrir et demarrer la voiture ; ca marche presque toujours a 7m, bien a 30m, et parfois avec la voiture a 60m de la clef -- voir table 4 -- sur 10 modeles differents.
fin du resume]

Tant que les gens n'auront pas de notions de securite, et ne comprendront pas les risques, il n'y aura de progres que par la legislation.

[Pierre Louis Chevalier]

Coté sécurité les mobiles et les paiements sans contacts ça à l'air d'une grosse blague, je pense qu'on va bien se marrer. Moi je m'en fou je paie avec des pièces et j'ai pas de smartphone.

Je vais créer une boite qui vends des téléphones qui ne font que téléphoner comme il y à 10 ans, et on peu l'ouvrir pour y ranger ses pièces, et je vais faire fortune hahahhaha.

[pgoetz]

BACnet (protocol très populaire aux Etats-Unis) utilisé en HVAC (chauffage/climatisation) n'est pas protégé. L'addendum G du dit protocol concernant la sécurité n'est pas (très peu) implémenté. Il est vrai également que la plus part des déploiements se fait sur paire torsadé (MS/TP RS485), mais il y a souvent un routeur vers IP.

[goomazio]

[Resume pour ceux qui ne veulent pas lire l'article :
Une clef de type carte dans une cuisine, pas loin de la fenetre. Il suffit d'un cable avec une antenne (figure 6) pour ouvrir et demarrer la voiture ; ca marche presque toujours a 7m, bien a 30m, et parfois avec la voiture a 60m de la clef -- voir table 4 -- sur 10 modeles differents.
fin du resume]

Dans ce document, je ne vois pas où ils disent que la clé est nécessaire uniquement pour l'ouverture et le démarrage de la voiture. Est-ce qu'à partir du moment où la voiture est démarrée, on peut jetter la clé par la fenêtre et s'en éloigner sans soucis ?

Ceci dit, je n'ai rien à redire sur le fait que, de manière générale, les commerçants ne s'intéressent pas plus que nous à notre sécurité.

D'ailleurs, à mon avis, si on peut voir des systèmes de "super"-sécurité mis en avant par-ci par là (confirmation par SMS chez Google, achat de dongle de sécurité pour des jeux en ligne), c'est uniquement parce que cela les arranges elles. Ces entreprisent sont noyées dans les problèmes de perte de mot de passe de ses millions d'utilisateurs et des vols de comptes (le vol de compte google doit être moins fréquent que le vol d'un compte Wow)...

[gangsoleil]

Dans ce document, je ne vois pas où ils disent que la clé est nécessaire uniquement pour l'ouverture et le démarrage de la voiture. Est-ce qu'à partir du moment où la voiture est démarrée, on peut jetter la clé par la fenêtre et s'en éloigner sans soucis ?

Oui, une fois la voiture demarree, il n'y a plus aucune verification.

[goomazio]

J'avais entendu que cette solution (de bloquer l'utilisation de la voiture quand la clé n'est pas a portée) était utilisée pour éviter de se faire volé sa voiture bêtement.

Mais je n'arrive pas à le confirmer, si ce n'est que dans certaines implémentations du système PKES, lorsque la clé s'éloigne assé du véhicule les portes sont fermées (bien sur) et un "immobilisateur" qui empêche la voiture de démarrer, si la clé n'est pas "présente", est activé.

Mais est-ce que cela l'éteind si elle est déjà démarrée ?