Quand un épisode de Mr. Robot devient réalité
Vous imaginez vous un jour pris en otage par votre thermostat connecté ? Plus précisément par des hackers qui, tranquillement installés chez eux, à l’autre bout du monde, joueraient à l’ascenseur thermique avec votre installation vous faisant passer de la Sibérie à la chaleur étouffante du Sahara. Le thermostat ne serait déverrouillé qu’après l’obtention d’une rançon.
Si la domotique a de l’avenir, certains s’en réjouissent sans doute déjà. Ce scénario, sorti tout droit de la saison 2 de Mr Robot, pourrait en effet représenter le futur du piratage.
Une faille dans le Thermostat permet d’en prendre le contrôle
Andrew Tierney et Ken Muro, deux chercheurs en sécurité informatique, ont réussi à débusquer une faille dans le thermostat connecté et à y implanter leur ransomware maison comme ils ont pu en faire la démonstration à l’IoT Village en marge de la hacking conférence DefCon.
Grâce à cette vulnérabilité, il est possible d’exécuter n’importe quel virus, ransomware et autres programmes malveillants. Pour cela, il suffit que l’utilisateur insère une carte SD vérolée, qui permet normalement de gérer les fonds d’écran personnalisés et de charger les paramètres. Libre aux pirates ensuite de bloquer la température au degré choisi, de transmettre la demande de rançon directement sur l’écran LCD de l’appareil et de procéder ensuite à son déverrouillage après versement de ladite rançon.
Un scénario qui laisse craindre le pire pour nos objets connectés
Les chercheurs n’ont pas communiqué publiquement sur la faille et ont alerté l’entreprise concernée de leur trouvaille afin qu’il la corrige. Ces white hat ont tout de même admis qu’un tel piratage n’était pas chose aisée puisqu’il oblige les utilisateurs à télécharger et transférer eux même un logiciel malveillant sur leur carte SD et in fine sur leur thermos. Mais ce genre de scénario n’est pas nouveau et pourrait se (re)produire.
Cette démonstration a toutefois mis en lumière le potentiel danger des objets connectés voués à un usage domestique (thermostats, réfrigérateurs), tout comme tous ceux connectés au WiFi, qui est une porte d’entrée de choix dans le foyer des internautes.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Avez-vous lu la source ? Il ne s’agit pas du tout d’un thermostat Nest.
Merci pour votre remarque, c’est corrigé 🙂
Si il fait trop chaud tu débranches tout simplement le Nest…
Ouais, enfin ca nécessite que “l’utilisateur insère une carte SD vérolée,”. Ca limite quant même le piratage.
Moi aussi je peux pirater n’importe quel Ordi si j’y met un virus avant lol
il faut pas denigrer toute la phase de social engineering qui rentre en jeu dans le hacking
Je te suggère de lire l’histoire de Stuxnet. L’exemple même du virus qui a atteint sa cible, sans jamais la cibler 🙂
Et ERDF qui installe à tout va leurs compteurs Linky , j’aimerai bien connaitre le niveau de sécurité de ce truc. S’il est piraté , on peut savoir si vous êtes chez vous ou pas avec les consos d’énergie…
Tiens dans ma commune ils devaient passer en janvier 2016 pour l’installer et je n’ai vu personne depuis. C’est reporté ou bien ?
Oui enfin, on peut dire la même chose avec le compteur d”eau (qui est consultable a distance par ta société via un radiorecepteur). La consommation d’eau est un meilleur indicateur que la conso d’elec …
” Ce scénario, sorti tout droit de la saison 2 de Mr Robot, pourrait en effet représenter le futur du piratage.”
Tranquille, le spoil.
Regardez l’épisode en question, et on reparlera de “spoil” ensuite 😉
J’attends sa diffusion légale.
Ils ont réussi a faire exécuter du code a partir d’une carte SD sur un thermostat qui tourne sous linux…
Ca ne semble pas non plus être l’exploit du siècle.
Et puis au final qu’un objet connecté se fasse pirater c’est pas un risque nouveau, je vois pas ça comme le “futur”.