IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les mots de passe Gmail exposés par un réfrigérateur connecté de Samsung


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 935
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 935
    Points : 206 996
    Points
    206 996
    Par défaut Les mots de passe Gmail exposés par un réfrigérateur connecté de Samsung
    Un réfrigérateur connecté de Samsung ne vérifie pas l'authenticité des certificats,
    et peut donc voir les données de connexion interceptées

    Pendant la conférence DEF CON 23 qui a eu lieu au début du mois d’août à Las Vegas, deux chercheurs en sécurité de la société Pen Test Partners ont découvert une faille dans la sécurité du réfrigérateur connecté répertorié comme étant RF28HMELBSR, successeur du RF4289HARS dans les écuries du sud-coréen Samsung. Il s’agit des identifiants de réfrigérateurs avec quatre portes disposant d’un écran tactile LCD 8 pouces compatibles avec la technologie Wi-Fi. Il faut préciser que ce modèle n'est pas encore disponible en Europe.


    Modèle RF28HMELBSR

    Le hic de ce modèle d’électroménager ? Bien que l'appareil prenne en compte les connexions chiffrées en SSL / TLS, il ne vérifie en effet pas l'authenticité des certificats, permettant ainsi la réalisation d’une attaque de type « Man in the middle » pour intercepter les données de connexion.

    « Le réfrigérateur connecté à Internet est conçu pour afficher des informations du calendrier Gmail sur l’écran», a expliqué Ken Munro, un chercheur en sécurité de Pen Tes Partners. « Il semble fonctionner de la même manière que tout dispositif exécutant un calendrier Gmail ferait. Un utilisateur connecté / propriétaire du calendrier effectue des mises à jour et ces changements sont alors vus sur n’importe quel appareil que l'utilisateur va utiliser pour le consulter ».

    « Alors que SSL est en place, le réfrigérateur ne parvient pas à valider le certificat. Par conséquent, les pirates qui parviennent à accéder au réseau sur lequel le réfrigérateur se trouve (par exemple en installant un faux point d’accès Wi-Fi à proximité) peuvent réaliser une attaque de type Man In The Middle sur le calendrier du réfrigérateur client et voler entre autres les identifiants de connexion Google de vos voisins », a-t-il poursuivi.

    Dans un billet, les chercheurs ont exposé les résultats de leurs différents essais et ont remarqué qu’« une exception notable à la règle citée en sus est observée lorsque le terminal se connecte au serveur de mise à jour – nous avons été en mesure d’isoler l’URL https://www.samsungotn.net qui est la même utilisée par les TV, etc. Nous avons généré un ensemble de certificats avec exactement le même contenu que ceux de sites web réels dans l’espoir que la validation était faible, mais cela a échoué ». En clair, lorsque le réfrigérateur se connecte aux serveurs de mise à jour de Samsung, l’authenticité des certificats est bien vérifiée, rendant impossible ce type d’interception.

    Si l’attaque contre le firmware n’a également mené nulle part, en revanche, les chercheurs ont découvert une faiblesse potentielle dans les processus de l’application mobile.

    Samsung a assuré qu’il s’occupait de cette affaire : « chez Samsung, nous comprenons que notre succès dépend de la confiance que place les utilisateurs en nous ainsi qu’aux produits et services que nous fournissons. Nous menons une enquête sur cette affaire aussi vite que possible. Protéger la vie privée de nos consommateurs est notre priorité première et nous travaillons dur tous les jours pour la protection de nos valeureux utilisateurs Samsung ».

    Source : blog Pen Test Partners

    forum sécurité

  2. #2
    Membre chevronné

    Profil pro
    Account Manager
    Inscrit en
    Décembre 2006
    Messages
    2 301
    Détails du profil
    Informations personnelles :
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Account Manager

    Informations forums :
    Inscription : Décembre 2006
    Messages : 2 301
    Points : 1 751
    Points
    1 751
    Par défaut
    À quand un réfrigérateur tueur ? Ceci étant, ce serait faisable s'il on a accès à certaines fonctionnalités pratiques du réfrigérateur, je vous laisse deviner comment.

  3. #3
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 226
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 226
    Points : 28 221
    Points
    28 221
    Par défaut
    Bienvenu dans le monde du tout connecté, même l'inutile et n'importe comment.

    On en est qu'au début.

  4. #4
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    Nom : fridge.jpg
Affichages : 2495
Taille : 18,8 Ko

  5. #5
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 136
    Points
    23 136
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Bien que l'appareil prenne en compte les connexions chiffrées en SSL / TLS, il ne vérifie en effet pas l'authenticité des certificats
    Je comprend qu'on aura toujours des bugs et toujours des failles, mais là… est-ce qu'ils ont ne serait-ce que testé leur produit ??

    Des erreurs toutes bêtes qui passent inaperçu et que se révèlent critiques, ça arrive, mais là… comment est-ce qu'un tel bug n'ai pas été détecté lors des tests avant la sorti du produit ?

    une exception notable à la règle citée en sus est observée lorsque le terminal se connecte au serveur de mise à jour
    Est-ce que le fait de ne pas vérifier les certificats ne serait pas volontaire ? C'est vraiment bizarre.

    Cela sent quand même un peu l'incompétence.

  6. #6
    Membre extrêmement actif
    Avatar de Sodium
    Femme Profil pro
    Développeuse web
    Inscrit en
    Avril 2014
    Messages
    2 324
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeuse web

    Informations forums :
    Inscription : Avril 2014
    Messages : 2 324
    Points : 2 013
    Points
    2 013
    Billets dans le blog
    1
    Par défaut
    Pardonnez-moi l'expression mais pourquoi cherches-t-on la merde comme ça ?
    On le sait qu'aucun système ne peut être à 100% sécurisé, que même les données les plus sensibles ne sont jamais à l'abri de hackers bien organisés.
    Alors pourquoi tenter le diable avec des objets de tous les jours qui ne disposeront mathématiquement que d'une protection très limitée et seront utilisés par des gens totalement inconscients des risques ?

    Comme pour les vaccins, il faudrait évaluer le rapport bénéfices/risques avant la mise sur le marché.
    Le bénéfice d'un frigo connecté capable de vous envoyer un sms pour vous rappeler d'acheter du beurre ou peu importe quelle idiotie du genre vaut-il le risque de voir sa maison infiltrée à son insu pour voler des données, servir de serveur pour des activités illégales ou simplement du voyeurisme ?

  7. #7
    Membre éprouvé Avatar de Alvaten
    Homme Profil pro
    Développeur Java / Grails
    Inscrit en
    Novembre 2006
    Messages
    324
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Java / Grails
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2006
    Messages : 324
    Points : 1 023
    Points
    1 023
    Par défaut
    J'espère que les constructeurs continuerons à fabriquer de bons vieux objet non connecté mais fonctionnels ! J'ai moyennement envie qu'on pirate mon lave-linge ou mon congélo et que je me retrouve avec des vêtements de poupée ou avec un magma de produit dégelé dans la cuisine !

    J'ai beau être un fan de nouvelle techno, un "geek" assumé et amateur de cuisine, au delà des risques je ne comprend même pas l’intérêt de l’électroménager connecté.

  8. #8
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2014
    Messages
    27
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Dordogne (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2014
    Messages : 27
    Points : 69
    Points
    69
    Par défaut
    L'électroménager connecté peut avoir des utilités réelles comme par exemple préchauffer le four via smartphone avant de quitter son boulot pour gagner du temps côté cuisine le soir mais à côté de ça oui il faut faire super gaffe niveau sécurité et intrusion dans nos vies privées. Quand je vois que certains de ces frigos connectés fonctionnent grâce à une caméra grand angle dans le frigo euh... Si on peut même plus aller se chercher une boisson pépère après l'amour sans que la CIA ou quiconque de mal intentionné nous mate à poil, on est bien mal barrés

  9. #9
    Membre habitué
    Profil pro
    Inscrit en
    Juillet 2005
    Messages
    441
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2005
    Messages : 441
    Points : 139
    Points
    139
    Par défaut
    des utilités réelles comme par exemple préchauffer le four via smartphone
    Et si on est dans une zone ou il n'y a pas de réseau, on mange froid ?

    Nico

  10. #10
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2014
    Messages
    27
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Dordogne (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2014
    Messages : 27
    Points : 69
    Points
    69
    Par défaut
    Citation Envoyé par DiverSIG Voir le message
    Et si on est dans une zone ou il n'y a pas de réseau, on mange froid ?
    Nico
    Préchauffer != Chauffer hein
    Si vous n'avez pas de réseau vous le faites à la main en rentrant, la technologie est une aide mais bien évidemment ça ne doit pas être la réponse à tout.

  11. #11
    Invité
    Invité(e)
    Par défaut
    Les frigos, télés, fours sont connectés au net mais pas les alarmes incendies!
    Bon, avec la caméra du four on pourra toujours mettre la vidéo de l'incendie de la cuisine sur youtube...

  12. #12
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 136
    Points
    23 136
    Par défaut
    Un frigo connecté, c'est génial, le contenu de ton frigo est envoyé aux annonceurs qui feront alors de la publicité ciblée.
    Plus de yaourt ? Paff, publicité pour les yaourt.
    Plein de gâteaux ? Paff, publicité pour mincir.
    Une bébé dans le congélateur ? Paff, publicité pour des capotes.


    C'est vrai qu'avec des alarmes connectées, on pourrait proposer des pubs d'appartements ou de mobilier dès que l'alarme s'enclenche.
    Mais bon, si on se contente juste de prévenir que la maison est en feu, ça ne rapporte pas grand chose.

    Bonjour, votre appartement est en feux.

    Choisissez dès à présent les hôtels tudors, les hôtels tudors, pour des nuits enflammées
    Bonjour, votre appartement est en feux.

    Choisissez dès à présent les hôtels sleepy, les hôtels sleepy, vous vous réveillerez tout feux tout flamme
    Bonjour, votre appartement est en feux.

    Vos enfants étaient dans l'appartement ? Pas de panique, les pompes funèbres Le dernier repos, vous aidera dans vos démarche.
    Vous aviez deux enfants ? Bonne nouvelle ! En ce moment, la deuxième crémation à -50% !

  13. #13
    Expert confirmé
    Avatar de Kropernic
    Homme Profil pro
    Analyste / Programmeur / DBA
    Inscrit en
    Juillet 2006
    Messages
    3 932
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Belgique

    Informations professionnelles :
    Activité : Analyste / Programmeur / DBA
    Secteur : Distribution

    Informations forums :
    Inscription : Juillet 2006
    Messages : 3 932
    Points : 4 242
    Points
    4 242
    Par défaut
    Citation Envoyé par Neckara Voir le message
    Bonjour, votre appartement est en feux.

    Vos enfants étaient dans l'appartement ? Pas de panique, les pompes funèbres Le dernier repos, vous aidera dans vos démarche.
    Vous aviez deux enfants ? Bonne nouvelle ! En ce moment, la deuxième crémation à -50% !
    C'est de l'arnaque vu que l'incendie s'est déjà occupé de la crémation. Ne vous faites pas avoir !

  14. #14
    Membre averti
    Homme Profil pro
    Inscrit en
    Juin 2012
    Messages
    168
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Eure (Haute Normandie)

    Informations forums :
    Inscription : Juin 2012
    Messages : 168
    Points : 397
    Points
    397
    Par défaut
    J'ai beau être un fan de nouvelle techno, un "geek" assumé et amateur de cuisine, au delà des risques je ne comprend même pas l’intérêt de l’électroménager connecté.
    Pas facile de trouver un intérêt pour nous, mais pour la société qui va collecté les données de ces appareils c'est tout bénef'

Discussions similaires

  1. Les mots de passe bientôt remplacés par la pensée ?
    Par Stéphane le calme dans le forum Actualités
    Réponses: 16
    Dernier message: 12/04/2013, 14h03
  2. Réponses: 2
    Dernier message: 23/04/2010, 19h04
  3. comment crypter les mots de passe?
    Par JauB dans le forum MS SQL Server
    Réponses: 3
    Dernier message: 23/11/2005, 16h37
  4. cacher les mots de passes...
    Par youp_db dans le forum C
    Réponses: 7
    Dernier message: 21/10/2005, 00h06
  5. Le dossier qui stock les mots de passe
    Par cartonis dans le forum Sécurité
    Réponses: 21
    Dernier message: 17/08/2005, 12h49

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo