Un thermostat connecté piraté : quand Mr Robot débarque dans la réalité

 
À l’occasion de la DEF CON, des chercheurs en sécurité ont réussi à pirater un thermostat connecté, appliquant ainsi dans la réalité les techniques de piratage utilisées dans un épisode de la saison 2 de Mr Robot. Une faille sur certains thermostats permet en fait de prendre le contrôle du produit à distance et de le bloquer à une certaine température. On peut alors imaginer un système de rançon.
radiateur

Vous êtes chez vous confortablement installé au fond du canapé en plein été, et tout d’un coup, votre chauffage central s’allume et souffle un air brûlant insoutenable. Vous vous levez donc pour réduire la température de votre thermostat connecté, mais vous vous apercevez que celui-ci ne fonctionne plus et affiche un message de rançon. Si vous ne payez pas 1 000 dollars sous 24 heures à l’aide d’une URL sécurisée et de bitcoins, votre chauffage restera bloqué à 35°C. Une histoire qui n’existe pas encore – sauf sous une autre forme dans la saison 2 de Mr Robot – mais qui pourrait bien se dérouler dans les mois à venir.

Deux chercheurs en sécurité (Andrew Tierney and Ken Munro) ont trouvé dans un thermostat connecté, dont le nom n’a pas été révélé car la faille n’a pas encore été corrigée, une faille de sécurité. Celle-ci permet d’exécuter n’importe quel programme, y compris des virus, trojans et autres ransomwares. Si l’utilisateur insère dans le thermostat une carte SD (qui sert à changer les fonds d’écran et à charger des paramètres) vérolée, des pirates pourraient prendre le contrôle du thermostat et le bloquer totalement à une température prédéfinie, en réclamant à l’utilisateur le paiement d’une rançon pour débloquer l’appareil.

Les chercheurs n’ont pas dévoilé publiquement la faille puisqu’elle a été trouvée tout récemment, juste avant la DEF CON. La marque du thermostat vient donc d’être mis au courant de la faille et devrait rapidement la combler. Cette démonstration met néanmoins en lumière le manque de sécurité de certains objets connectés (on pense notamment aux cadenas Bluetooth), mais surtout les risques accrus en terme de sécurité du déploiement des objets connectés dans notre quotidien.


Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !

Les derniers articles