Passer au contenu

Thermostat piraté : le danger des objets connectés dans notre quotidien

Les objets connectés promettent d’envahir nos vies, est-ce une bonne nouvelle ? Deux chercheurs en sécurité informatique ont piraté un thermostat à distance réussissant à le…

Les objets connectés promettent d’envahir nos vies, est-ce une bonne nouvelle ? Deux chercheurs en sécurité informatique ont piraté un thermostat à distance réussissant à le bloquer à une température définie.

thermostat-nest-piraté

Quand un épisode de Mr. Robot devient réalité

Vous imaginez vous un jour pris en otage par votre thermostat connecté ? Plus précisément par des hackers qui, tranquillement installés chez eux, à l’autre bout du monde, joueraient à l’ascenseur thermique avec votre installation vous faisant passer de la Sibérie à la chaleur étouffante du Sahara. Le thermostat ne serait déverrouillé qu’après l’obtention d’une rançon.

Si la domotique a de l’avenir, certains s’en réjouissent sans doute déjà. Ce scénario, sorti tout droit de la saison 2 de Mr Robot, pourrait en effet représenter le futur du piratage.

Une faille dans le Thermostat permet d’en prendre le contrôle

Andrew Tierney et Ken Muro, deux chercheurs en sécurité informatique, ont réussi à débusquer une faille dans le thermostat connecté et à y implanter leur ransomware maison comme ils ont pu en faire la démonstration à l’IoT Village en marge de la hacking conférence DefCon.

thermostat-nest-piraté-

Grâce à cette vulnérabilité, il est possible d’exécuter n’importe quel virus, ransomware et autres programmes malveillants. Pour cela, il suffit que l’utilisateur insère une carte SD vérolée, qui permet normalement de gérer les fonds d’écran personnalisés et de charger les paramètres. Libre aux pirates ensuite de bloquer la température au degré choisi, de transmettre la demande de rançon directement sur l’écran LCD de l’appareil et de procéder ensuite à son déverrouillage après versement de ladite rançon.

Un scénario qui laisse craindre le pire pour nos objets connectés

Les chercheurs n’ont pas communiqué publiquement sur la faille et ont alerté l’entreprise concernée de leur trouvaille afin qu’il la corrige. Ces white hat ont tout de même admis qu’un tel piratage n’était pas chose aisée puisqu’il oblige les utilisateurs à télécharger et transférer eux même un logiciel malveillant sur leur carte SD et in fine sur leur thermos. Mais ce genre de scénario n’est pas nouveau et pourrait se (re)produire.

Cette démonstration a toutefois mis en lumière le potentiel danger des objets connectés voués à un usage domestique (thermostats, réfrigérateurs), tout comme tous ceux connectés au WiFi, qui est une porte d’entrée de choix dans le foyer des internautes.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

13 commentaires
  1. Ouais, enfin ca nécessite que “l’utilisateur insère une carte SD vérolée,”. Ca limite quant même le piratage.
    Moi aussi je peux pirater n’importe quel Ordi si j’y met un virus avant lol

    1. Je te suggère de lire l’histoire de Stuxnet. L’exemple même du virus qui a atteint sa cible, sans jamais la cibler 🙂

  2. Et ERDF qui installe à tout va leurs compteurs Linky , j’aimerai bien connaitre le niveau de sécurité de ce truc. S’il est piraté , on peut savoir si vous êtes chez vous ou pas avec les consos d’énergie…

    1. Tiens dans ma commune ils devaient passer en janvier 2016 pour l’installer et je n’ai vu personne depuis. C’est reporté ou bien ?

    2. Oui enfin, on peut dire la même chose avec le compteur d”eau (qui est consultable a distance par ta société via un radiorecepteur). La consommation d’eau est un meilleur indicateur que la conso d’elec …

  3. ” Ce scénario, sorti tout droit de la saison 2 de Mr Robot, pourrait en effet représenter le futur du piratage.”

    Tranquille, le spoil.

  4. Ils ont réussi a faire exécuter du code a partir d’une carte SD sur un thermostat qui tourne sous linux…
    Ca ne semble pas non plus être l’exploit du siècle.

    Et puis au final qu’un objet connecté se fasse pirater c’est pas un risque nouveau, je vois pas ça comme le “futur”.

Les commentaires sont fermés.

Mode