Discussion :

[Stéphane le calme]

Un réfrigérateur connecté de Samsung ne vérifie pas l'authenticité des certificats,
et peut donc voir les données de connexion interceptées

Pendant la conférence DEF CON 23 qui a eu lieu au début du mois d’août à Las Vegas, deux chercheurs en sécurité de la société Pen Test Partners ont découvert une faille dans la sécurité du réfrigérateur connecté répertorié comme étant RF28HMELBSR, successeur du RF4289HARS dans les écuries du sud-coréen Samsung. Il s’agit des identifiants de réfrigérateurs avec quatre portes disposant d’un écran tactile LCD 8 pouces compatibles avec la technologie Wi-Fi. Il faut préciser que ce modèle n'est pas encore disponible en Europe.

Modèle RF28HMELBSR

Le hic de ce modèle d’électroménager ? Bien que l'appareil prenne en compte les connexions chiffrées en SSL / TLS, il ne vérifie en effet pas l'authenticité des certificats, permettant ainsi la réalisation d’une attaque de type « Man in the middle » pour intercepter les données de connexion.

« Le réfrigérateur connecté à Internet est conçu pour afficher des informations du calendrier Gmail sur l’écran», a expliqué Ken Munro, un chercheur en sécurité de Pen Tes Partners. « Il semble fonctionner de la même manière que tout dispositif exécutant un calendrier Gmail ferait. Un utilisateur connecté / propriétaire du calendrier effectue des mises à jour et ces changements sont alors vus sur n’importe quel appareil que l'utilisateur va utiliser pour le consulter ».

« Alors que SSL est en place, le réfrigérateur ne parvient pas à valider le certificat. Par conséquent, les pirates qui parviennent à accéder au réseau sur lequel le réfrigérateur se trouve (par exemple en installant un faux point d’accès Wi-Fi à proximité) peuvent réaliser une attaque de type Man In The Middle sur le calendrier du réfrigérateur client et voler entre autres les identifiants de connexion Google de vos voisins », a-t-il poursuivi.

Dans un billet, les chercheurs ont exposé les résultats de leurs différents essais et ont remarqué qu’« une exception notable à la règle citée en sus est observée lorsque le terminal se connecte au serveur de mise à jour – nous avons été en mesure d’isoler l’URL https://www.samsungotn.net qui est la même utilisée par les TV, etc. Nous avons généré un ensemble de certificats avec exactement le même contenu que ceux de sites web réels dans l’espoir que la validation était faible, mais cela a échoué ». En clair, lorsque le réfrigérateur se connecte aux serveurs de mise à jour de Samsung, l’authenticité des certificats est bien vérifiée, rendant impossible ce type d’interception.

Si l’attaque contre le firmware n’a également mené nulle part, en revanche, les chercheurs ont découvert une faiblesse potentielle dans les processus de l’application mobile.

Samsung a assuré qu’il s’occupait de cette affaire : « chez Samsung, nous comprenons que notre succès dépend de la confiance que place les utilisateurs en nous ainsi qu’aux produits et services que nous fournissons. Nous menons une enquête sur cette affaire aussi vite que possible. Protéger la vie privée de nos consommateurs est notre priorité première et nous travaillons dur tous les jours pour la protection de nos valeureux utilisateurs Samsung ».

Source : blog Pen Test Partners

forum sécurité

[rambc]

À quand un réfrigérateur tueur ? Ceci étant, ce serait faisable s'il on a accès à certaines fonctionnalités pratiques du réfrigérateur, je vous laisse deviner comment.

[sevyc64]

Bienvenu dans le monde du tout connecté, même l'inutile et n'importe comment.

On en est qu'au début.

[benjani13]

[Neckara]

Bien que l'appareil prenne en compte les connexions chiffrées en SSL / TLS, il ne vérifie en effet pas l'authenticité des certificats

Je comprend qu'on aura toujours des bugs et toujours des failles, mais là… est-ce qu'ils ont ne serait-ce que testé leur produit ??

Des erreurs toutes bêtes qui passent inaperçu et que se révèlent critiques, ça arrive, mais là… comment est-ce qu'un tel bug n'ai pas été détecté lors des tests avant la sorti du produit ?

une exception notable à la règle citée en sus est observée lorsque le terminal se connecte au serveur de mise à jour

Est-ce que le fait de ne pas vérifier les certificats ne serait pas volontaire ? C'est vraiment bizarre.

Cela sent quand même un peu l'incompétence.

[Sodium]

Pardonnez-moi l'expression mais pourquoi cherches-t-on la merde comme ça ?
On le sait qu'aucun système ne peut être à 100% sécurisé, que même les données les plus sensibles ne sont jamais à l'abri de hackers bien organisés.
Alors pourquoi tenter le diable avec des objets de tous les jours qui ne disposeront mathématiquement que d'une protection très limitée et seront utilisés par des gens totalement inconscients des risques ?

Comme pour les vaccins, il faudrait évaluer le rapport bénéfices/risques avant la mise sur le marché.
Le bénéfice d'un frigo connecté capable de vous envoyer un sms pour vous rappeler d'acheter du beurre ou peu importe quelle idiotie du genre vaut-il le risque de voir sa maison infiltrée à son insu pour voler des données, servir de serveur pour des activités illégales ou simplement du voyeurisme ?

[Alvaten]

J'espère que les constructeurs continuerons à fabriquer de bons vieux objet non connecté mais fonctionnels ! J'ai moyennement envie qu'on pirate mon lave-linge ou mon congélo et que je me retrouve avec des vêtements de poupée ou avec un magma de produit dégelé dans la cuisine !

J'ai beau être un fan de nouvelle techno, un "geek" assumé et amateur de cuisine, au delà des risques je ne comprend même pas l’intérêt de l’électroménager connecté.

[Yorenzo]

L'électroménager connecté peut avoir des utilités réelles comme par exemple préchauffer le four via smartphone avant de quitter son boulot pour gagner du temps côté cuisine le soir mais à côté de ça oui il faut faire super gaffe niveau sécurité et intrusion dans nos vies privées. Quand je vois que certains de ces frigos connectés fonctionnent grâce à une caméra grand angle dans le frigo euh... Si on peut même plus aller se chercher une boisson pépère après l'amour sans que la CIA ou quiconque de mal intentionné nous mate à poil, on est bien mal barrés

[DiverSIG]

des utilités réelles comme par exemple préchauffer le four via smartphone

Et si on est dans une zone ou il n'y a pas de réseau, on mange froid ?

Nico

[Yorenzo]

Et si on est dans une zone ou il n'y a pas de réseau, on mange froid ?
Nico

Préchauffer != Chauffer hein
Si vous n'avez pas de réseau vous le faites à la main en rentrant, la technologie est une aide mais bien évidemment ça ne doit pas être la réponse à tout.

[Invité]

Les frigos, télés, fours sont connectés au net mais pas les alarmes incendies!
Bon, avec la caméra du four on pourra toujours mettre la vidéo de l'incendie de la cuisine sur youtube...

[Neckara]

Un frigo connecté, c'est génial, le contenu de ton frigo est envoyé aux annonceurs qui feront alors de la publicité ciblée.
Plus de yaourt ? Paff, publicité pour les yaourt.
Plein de gâteaux ? Paff, publicité pour mincir.
Une bébé dans le congélateur ? Paff, publicité pour des capotes.


C'est vrai qu'avec des alarmes connectées, on pourrait proposer des pubs d'appartements ou de mobilier dès que l'alarme s'enclenche.
Mais bon, si on se contente juste de prévenir que la maison est en feu, ça ne rapporte pas grand chose.

Bonjour, votre appartement est en feux.

Choisissez dès à présent les hôtels tudors, les hôtels tudors, pour des nuits enflammées

Bonjour, votre appartement est en feux.

Choisissez dès à présent les hôtels sleepy, les hôtels sleepy, vous vous réveillerez tout feux tout flamme

Bonjour, votre appartement est en feux.

Vos enfants étaient dans l'appartement ? Pas de panique, les pompes funèbres Le dernier repos, vous aidera dans vos démarche.
Vous aviez deux enfants ? Bonne nouvelle ! En ce moment, la deuxième crémation à -50% !

[Kropernic]

Bonjour, votre appartement est en feux.

Vos enfants étaient dans l'appartement ? Pas de panique, les pompes funèbres Le dernier repos, vous aidera dans vos démarche.
Vous aviez deux enfants ? Bonne nouvelle ! En ce moment, la deuxième crémation à -50% !

C'est de l'arnaque vu que l'incendie s'est déjà occupé de la crémation. Ne vous faites pas avoir !

[NahMean]

J'ai beau être un fan de nouvelle techno, un "geek" assumé et amateur de cuisine, au delà des risques je ne comprend même pas l’intérêt de l’électroménager connecté.

Pas facile de trouver un intérêt pour nous, mais pour la société qui va collecté les données de ces appareils c'est tout bénef'