Un fabricant provoque l’arrêt à distance d’un aspirateur connecté sans demander l'avis du possesseur
Un fabricant arrête à distance un aspirateur connecté après la désactivation par son possesseur de la fonctionnalité de collecte des données
L’ingénieur l’a réactivé à l'aide de scripts Python personnalisés
Un fabricant a émis une commande d'arrêt à distance pour désactiver l'aspirateur intelligent après la décision de son possesseur d’empêcher la collecte des données. Ce dernier l’a ensuite réactivé à l'aide d'un matériel personnalisé et de scripts Python pour le faire fonctionner hors ligne. Le tableau ramène en surface des inconvénients connus avec les appareils connectés : le sentiment que le véritable possesseur est le fabricant qui empiète à sa sur la vie privée des utilisateurs. Faut-il ou pas avoir des appareils connectés à Internet dans son domicile ?
Dans un article publié sur son blog Small World, Harishankar Narayanan, programmeur informatique et passionné d'électronique, a détaillé une découverte surprenante qu'il a faite à propos de son aspirateur intelligent à 300 dollars : celui-ci transmettait des données confidentielles hors de son domicile.
Narayanan avait laissé son aspirateur intelligent iLife A11, un gadget populaire qui a fait l'objet d'une couverture médiatique importante, fonctionner pendant environ un an, avant de s'intéresser à son fonctionnement interne. Il a décidé de surveiller son trafic réseau, comme je le ferais avec n'importe quel appareil dit intelligent. En quelques minutes, il a découvert un flux constant de données envoyées à des serveurs à l'autre bout du monde.
L'ingénieur affirme avoir empêché l'appareil de transmettre des données, tout en laissant le reste du trafic réseau (comme les mises à jour du micrologiciel) fonctionner normalement. L'aspirateur a continué à fonctionner pendant quelques jours, jusqu'à ce qu'un matin, il refuse de démarrer.
Il l'a donc envoyé en réparation et le centre de service le lui a retourné en lui assurant qu'il fonctionne parfaitement dans leurs locaux. L'appareil a fonctionné à nouveau pendant quelques jours après son passage au centre de réparations. Puis, il est tombé en panne une fois de plus. Narayanan a répété ce processus plusieurs fois, jusqu'à ce que le centre de service refuse au final de le réparer, affirmant que l'appareil n'était plus sous garantie.
Plus curieux que jamais, Narayanan n'avait désormais plus aucune raison de ne pas démonter l'appareil pour trouver des réponses, et c'est exactement ce qu'il a fait. Après avoir procédé à une ingénierie inverse de l'aspirateur, il a fait une découverte effrayante : Android Debug Bridge, un programme permettant d'installer et de déboguer des applications sur des appareils, était grand ouvert au monde entier et donc lui offrait un accès root complet.
Après plusieurs essais et erreurs, il a finalement réussi à se connecter au système de l'aspirateur depuis son ordinateur. C'est alors qu'il a découvert une surprise encore plus grande. L'appareil exécutait Google Cartographer, un programme open source conçu pour créer une carte 3D de sa maison, données que le gadget retransmettait à sa société mère.
De plus, Narayanan affirme avoir découvert une ligne de code suspecte transmise par l'entreprise à l'aspirateur, horodatée au moment exact où celui-ci a cessé de fonctionner. Il a donc procédé à une modification du script qui lui a permis de remettre l’appareil en fonctionnement.
En bref, a-t-il souligné, la société qui a fabriqué l'appareil avait le pouvoir de désactiver à distance les appareils, et l'a utilisé contre lui pour avoir bloqué leur collecte de données. Narayanan prévient que des dizaines d'aspirateurs intelligents sont susceptibles d'utiliser des systèmes similaires. « Nos maisons sont remplies de caméras, de microphones et de capteurs mobiles connectés à des entreprises que nous connaissons à peine, tous capables d'être transformés en armes à l'aide d'une seule ligne de code », indique-t-il.
Dépendance au cloud plutôt que propriété
Ce cas montre à quel point les appareils IoT (Internet des objets) modernes dépendent de la connectivité au cloud. Formellement, l'acheteur est propriétaire du matériel. Dans la pratique, c'est le fabricant qui contrôle ses fonctionnalités et sa durée de vie.
Les appareils tels que l'iLife A11 collectent des données détaillées sur leur utilisation et leur environnement, telles que des plans de pièces et des schémas de déplacement. Ces données sont généralement transmises aux serveurs du fabricant.
Lorsque ce transfert est bloqué, le fabricant peut activer des mécanismes d'authentification ou de verrouillage qui limitent ou désactivent le fonctionnement. De tels scénarios ne sont souvent mentionnés qu'indirectement dans les conditions d'utilisation.
Déséquilibre des pouvoirs entre l'utilisateur et le fabricant
Le cas de Harishankar met en évidence un déséquilibre structurel entre les utilisateurs et les fournisseurs : les consommateurs paient pour du matériel qui ne fonctionne que dans les conditions fixées par le fabricant. Lorsqu'un client prend au sérieux la protection des données et bloque les canaux de communication, l'autre partie peut réagir, pouvant aller jusqu'à la désactivation.
Techniquement, cela est possible grâce à des fonctions de gestion à distance, à l'authentification du micrologiciel et aux certificats d'appareils basés sur le cloud. C’est pour de tels cas de figure qu’Eugène Kaspersky a fait une sortie pour prévenir de ce que l’Internet des objets pourrait rapidement devenir l’Internet des menaces.
Source : Blog
Et vous ?
Faut-il ou pas avoir des appareils connectés à Internet dans son domicile ?
Voir aussi :
Répondre avec citation
Envoyé par shenron666
Partager