Discussion :

[Patrick Ruiz]

Sécurité : combien d’ampoules faut-il pour mettre un réseau informatique à mal ?
Juste une s’il s’agit d’un modèle dit intelligent

C’est, de façon brossée, la conclusion à laquelle on arrive en s’appuyant sur une récente publication de la firme Check Point qui dévoile des failles susceptibles de permettre à un pirate informatique d’injecter des rançongiciels ou d'autres logiciels malveillants aux réseaux professionnels et domestiques en prenant le contrôle d’ampoules connectées et de leurs contrôleurs.

La publication de la firme Check Point s’inscrit dans la suite de celle d’une équipe de chercheurs en sécurité issus d’universités en Israël et au Canada. En effet, c’est en 2017 que cette dernière a montré comment prendre le contrôle d'ampoules intelligentes et comment créer une réaction en chaîne qui peut se propager dans une ville moderne.

Leur publication soulevait une question intéressante : des pirates informatiques peuvent-ils combler le gap entre le réseau physique de l'Internet des objets (les ampoules) et le réseau informatique de nos maisons, de nos bureaux ou même des villes intelligentes à venir ? D’après ce qui ressort de la dernière note d’information de la firme de sécurité Check Point, la réponse est OUI.

La publication de Check Point porte sur des ampoules de la gamme Philips Hue. Elle met en avant une ouverture sur les réseaux d’entreprises et domestiques de potentielles victimes en s’appuyant, primo sur la possibilité de prendre à distance le contrôle d’une ampoule connectée et personnaliser son firmware (travaux des chercheurs publiés en 2017) et deuxio, sur une faille dans le protocole Zigbee.

En substance, l’attaque consiste (à partir de la prise de contrôle de l’ampoule) à contrôler à distance la couleur ou la luminosité de l’ampoule pour faire croire à l’utilisateur qu’il y a un souci. La manœuvre a pour effet de rendre l’ampoule inaccessible via l’application de contrôle de l’utilisateur qui va donc tenter une réinitialisation en la supprimant de l’application puis en demandant à la passerelle de contrôle de procéder à une nouvelle découverte. L’ampoule compromise est alors réintégrée dans le réseau. C’est alors que la vulnérabilité Zigbee entre en scène pour permettre de déclencher un débordement de tampon sur la passerelle ; les chercheurs y parviennent en envoyant une importante quantité de données. Le pirate installe ensuite un logiciel malveillant sur la passerelle, qui est à son tour connectée au réseau professionnel ou domestique cible. Le logiciel malveillant se reconnecte au pirate qui, à l'aide d'un exploit connu (tel que EternalBlue), peut alors infiltrer le réseau IP cible à partir de la passerelle pour diffuser des rançongiciels ou des spywares.

Ci-dessous, une vidéo qui montre comment les chercheurs en sécurité ont exploité les failles de la passerelle Philips Hue afin de s'infiltrer dans le réseau informatique de la victime, ce, pour ensuite s'attaquer à un ordinateur en son sein en utilisant l'exploit EternalBlue.

Check Point a mis Philips et Signify (propriétaire de la marque Philips Hue) au courant de ces développements en novembre 2019. Signify a confirmé l'existence de la vulnérabilité dans leur produit, et a publié une version de firmware corrigée (Firmware 1935144040) qui est maintenant disponible sur leur site. Si la publication de Check Point porte sur des ampoules intelligentes Philips, il faut dire que la mention de vulnérabilités ZigBee étend ces exposés à d’autres marques. Attention donc aux utilisateurs de dispositifs Ring d’Amazon, SmartThings de Samsung ou encore Xfinity Home de Comcast… Check Point n’a pas souhaité apporter plus de détails techniques pour permettre aux possesseurs des dispositifs concernés de pouvoir effectuer la mise à jour.

Source : Check Point

Et vous ?

Qu’en pensez-vous ?
Faites-vous usage d’ampoules connectées ? Voyez-vous un quelconque intérêt à le faire ?
De quelles précautions d’usage vous entourez-vous pour ne pas être victime d’attaques dans ce genre ?

Voir aussi :

IoT : la Californie est sur le point de prendre une loi pour réglementer les objets connectés, et deviendra ainsi le premier État américain à le faire
IoT : des pirates s'appuient sur le thermostat connecté d'un aquarium pour pénétrer le réseau d'un casino, et extirper 10 Go de data
Une faille de sécurité de dispositifs IdO rend un demi-milliard d'appareils en entreprise vulnérables, les imprimantes sont aussi un vecteur d'attaque
IoT : plusieurs marques de caméras sur IP sont vulnérables à des attaques, d'après une publication de la firme de sécurité F-Secure
L'Inde est accusée d'être un « Etat de surveillance » après avoir autorisé 10 agences fédérales, à fouiner dans n'importe quel ordinateur

[sitexw]

Je trouve ça dingue que, aujourd'hui encore, des applications se font hacker avec des dépassements de tampon. Corrigez-moi si je me trompe, mais ce n'est pas l'un des risques de sécurité les plus connus ? Certains développeurs ne sont toujours pas au courant de ça ? Je pense que de nombreuses méthodes existe pour contrer ce problème.
(mon niveau dans ce domaine est faible)

[transgohan]

Une ampoule connectée au réseau électrique. Oui.
Une ampoule connectée au réseau de l'entreprise... Sérieux ???
Je suis resté aux ampoules télécommandables, mais passer à celles à connecter sur mon réseau certainement pas...
Je n'en vois pas l'intérêt...

[Stery]

Je trouve ça dingue que, aujourd'hui encore, des applications se font hacker avec des dépassements de tampon. Corrigez-moi si je me trompe, mais ce n'est pas l'un des risques de sécurité les plus connus ? Certains développeurs ne sont toujours pas au courant de ça ? Je pense que de nombreuses méthodes existe pour contrer ce problème.
(mon niveau dans ce domaine est faible)

<troll> Je te renvoie vers l'article suivant : baisse générale du niveau scolaire </troll>

Plus sérieusement, pour bosser assez souvent en parallèle d'une équipe liée à du développement d'outils soit-disant sécurisés, je peux te dire que ce problème apparemment si connu de buffer overflow ne semble pas les déranger plus que ça, et pourtant ce sont des personnes diplômées avec des connaissances en la matière... Il y en a toujours pour se dire que ça n'arrivera pas ou que quelqu'un d'autre le corrigera.

[melka one]

Il y en a toujours pour se dire que ça n'arrivera pas ou que quelqu'un d'autre le corrigera.

ca fera du travail pour la personne qui corrigera le bug

[Steinvikel]

ce troll... laisser des imperfections béante, c'est éthique, c'est pour diminuer le chômage... xD

Je suis resté aux ampoules télécommandables, mais passer à celles à connecter sur mon réseau certainement pas...
Je n'en vois pas l'intérêt...

Ne plus avoir de multiples télécommandes dans une même pièce pour :
- la télé
- la box
- le lecteur DVD
- la chaine hi-fi
- la console
- la clim
- les volets roulants
- la lumière

...par exemple.

[strato35]

ce troll... laisser des imperfections béante, c'est éthique, c'est pour diminuer le chômage... xD


Ne plus avoir de multiples télécommandes dans une même pièce pour :
- la télé
- la box
- le lecteur DVD
- la chaine hi-fi
- la console
- la clim
- les volets roulants
- la lumière

...par exemple.

Perso j'ai trouvé des solutions alternatives pour ne pas avoir à tout mettre sur réseau :
-> la télé et lecteur DVD sur la même télécommande
-> position calculée et stratégique pour les interrupteurs de volets et lumières, par exemple j'ai mesuré ma gestuelle le matin et ai fait en sorte que lorsque ce que je m'étire en me réveillant, le dessus de ma main tape dans l'interrupteur qui allume la lumière. Un autre interrupteur est proche de l'angle du mur pour quand je vais me coucher, je m’appuie toujours sur ce mur pour m’asseoir sur le lit.

Alors certes ce n'est pas moderne, mais ça fait que je n'ai jamais ressentis le besoin de contrôler ces objets à distance.
Et tant que mon lit ne bouge pas, que je ne change pas la hauteur du sommier, l'épaisseur du matelas et ses matériaux (si le matelas se déforme on perd en précision), ça continuera de bien fonctionner

Et ce pour toutes les pièces, que ce soit la chambre, le bureau, la salle de bain etc...
Pas besoin d'avoir un interrupteur sur toutes les portes, mettez le là où vous passez, là où vous vous reposez, car avec ou sans télécommande vous vous y déplacerez quoi qu'il arrive...

[Fleur en plastique]

Il faut être clairement allumé pour acheter et installer des ampoules, chacune connectée individuellement au réseau.

Il faut vraiment ne pas avoir la lumière à tous les étages pour ne pas imaginer l'impact que cela peut avoir, aussi bien côté sécurité, côté environnemental et même côté financier, s'il faut remplacer toute l'électronique à chaque fois qu'une ampoule grille.

Éventuellement, je pourrais imaginer avoir des ampoules toute à fait normale, mais reliée à une partie du réseau électrique qui serait contrôlé, lui, via le réseau, via du matériel dédié, et ainsi limiter la quantité d'appareil relié au réseau, et garder chaque spécialisation chez soi (le contrôle de l’électricité d'une part, et la lumière d'autre part).

Et enfin, les développeurs qui ont laissé des failles pareilles ne sont pas des lumières.

[dvassart]

Qu’en pensez-vous ?

Que ce n'est pas la première fois qu'une faille de ce genre est mise en lumière (sans mauvais jeu de mot...) sur des dispositifs IoT, et que ce ne sera certainement pas la dernière. On peut même, allez, carrément se demander si ce n'est pas délibéré de la part de ces firmes, pour nous siphonner des données personnelles et/ou sensibles pour leur compte ou le compte d'une LEA.
A partir du moment où on commence à utiliser ce genre de technologie, on est censé être au courant des potentiels menaces que cela représente pour la sécurité de nos données. Tout comme avec les ordinateurs et les smartphones.
Qu'on soit néophyte ou expérimenté, on est tous sujets à une possible attaque. Après, c'est sûr que quelqu'un d'expérimenté donnera toujours plus de fil à retordre à son assaillant.

Faites-vous usage d’ampoules connectées ? Voyez-vous un quelconque intérêt à le faire ?

Oui, j'ai 4 ampoules Hue, que j'ai acheté pour réguler plus efficacement mon rythme circadien, qui était sujet à des dérèglements. La possibilité de programmer un réveil lumineux le matin et une extinction progressive le soir avec transition vers une couleur 100% rouge (seulement en hiver; en été il fait clair trop tard...) m'a permis de maîtriser beaucoup mieux mon cycle veille/sommeil.

De quelles précautions d’usage vous entourez-vous pour ne pas être victime d’attaques dans ce genre ?

Pour une attaque comme celle décrite dans cet article, à part être vigilant vis à vis d'éventuels dysfonctionnements du système, il n'y a malheureusement pas grand chose à faire. Si je le pouvais, je prendrais une ligne internet séparée du reste pour contrôler les ampoules, mais ce n'est pas possible chez moi.
Mais d'une façon générale, je ne stocke pas de données sensibles sans protection conséquente. Mes disques durs sont chiffrés avec VeraCrypt et une phrase de passe robuste et montés sur l'ordi seulement quand c'est nécessaire. L'ordi lui-même n'est allumé et connecté au réseau que lorsque je m'en sers et rien de sensible n'est stocké dessus.
Je ne me sers jamais de wi-fi public, plutôt du partage de connexion de mon smartphone. Quand ce n'est pas possible, wi-fi public avec un bon VPN.
Mais même comme ça, je ne suis jamais tranquille

[coco_]

@dvassart : je n'y crois pas à ton histoire.

[dvassart]

@dvassart : je n'y crois pas à ton histoire.

@coco_ :

https://www.therasomnia.com/dossiers...r-mieux-dormir
https://www.eclairage-design.com/blo...our-sendormir/
https://www.terrafemina.com/article/...rmir_a318000/1
https://www.santelog.com/actualites/...te-vos-humeurs

ou encore ceci:
https://www.defense.gouv.fr/actualit...es-sous-marins

[Paul_Le_Heros]

@Fleur en plastique :

Il faut être clairement allumé pour acheter et installer des ampoules, chacune connectée individuellement au réseau.

Il n'est pas nécessaire de le vivre pour le comprendre : il y a des gens qui sont handicapés et certains ont des gros problèmes de locomotion…
Bon, mais on peut souvent traiter le sujet sans "connexion" à un réseau local.