Vous êtes chez vous confortablement installé au fond du canapé en plein été, et tout d’un coup, votre chauffage central s’allume et souffle un air brûlant insoutenable. Vous vous levez donc pour réduire la température de votre thermostat connecté, mais vous vous apercevez que celui-ci ne fonctionne plus et affiche un message de rançon. Si vous ne payez pas 1 000 dollars sous 24 heures à l’aide d’une URL sécurisée et de bitcoins, votre chauffage restera bloqué à 35°C. Une histoire qui n’existe pas encore – sauf sous une autre forme dans la saison 2 de Mr Robot – mais qui pourrait bien se dérouler dans les mois à venir.
Deux chercheurs en sécurité (Andrew Tierney and Ken Munro) ont trouvé dans un thermostat connecté, dont le nom n’a pas été révélé car la faille n’a pas encore été corrigée, une faille de sécurité. Celle-ci permet d’exécuter n’importe quel programme, y compris des virus, trojans et autres ransomwares. Si l’utilisateur insère dans le thermostat une carte SD (qui sert à changer les fonds d’écran et à charger des paramètres) vérolée, des pirates pourraient prendre le contrôle du thermostat et le bloquer totalement à une température prédéfinie, en réclamant à l’utilisateur le paiement d’une rançon pour débloquer l’appareil.
Les chercheurs n’ont pas dévoilé publiquement la faille puisqu’elle a été trouvée tout récemment, juste avant la DEF CON. La marque du thermostat vient donc d’être mis au courant de la faille et devrait rapidement la combler. Cette démonstration met néanmoins en lumière le manque de sécurité de certains objets connectés (on pense notamment aux cadenas Bluetooth), mais surtout les risques accrus en terme de sécurité du déploiement des objets connectés dans notre quotidien.
Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
Oui, mais c'est valable pour presque tous les objets connecté équipé d'un lecteur SD, la méthode de hack n'est pas vraiment applicable.
Le soucis c'est pas les objets connectés, mais "connement connectés". Envoyer directement un truc sur Internet sans aucun protection est d'une naïveté déconcertante. Chez moi rien ne sort directement : je passe par un VPN pour accéder à mes objets depuis l'extérieur. La seule ouverture est le port SSH (à travers duquel on peut tout faire). Le jour où l'algos du SSH est piraté, ce sera le bordel certes, mais la température de ma maison sera le dernier de mes soucis :)
Jerry xD
"ouverture du portail selon ta position GPS " Comment tu fais ça sans connection à internet?
Benh sinon y'a juste à éteindre le nest et reprendre la chaudière en manuel. Je dit ça je dit rien mais autant dire qu'on est quand même pas non plus à la fin du monde à cause des objets connectés...<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
(SPOILER ALERT) Dans la saison 1 Elliot met un Raspberry Pi pour pirater le système de refroidissement des serveurs de E Corp. Mais dans la saison 2 dans le premier épisode une des associés de E Corp se fait pirater sa maison connectée et est obligée de partir de chez elle.
Pirater des thermostats domotique type Nest, c'est dans la saison 2.
Oui, envoyé des courriers avec "Merci d’insérer cette carte SD dans votre Nest" risque de coûté plus cher que le nombre de rançon obtenu vu le peut de chance d'aboutir... Surtout qu'il suffira de le débrancher et de le renvoyer en garantie/le remettre en paramètre d'usine pour régler le problème... C'est comme les voitures qui se contrôle depuis la prise OBD (situé dans le véhicule), le hacker peut aussi tourner le volant une fois dans la voiture... Et puis cela peut faire une news, si je modifie le firmware de ma caméra Xiaomi Yi, je peux aussi lui faire envoyé la vidéos ou je veux sans que l'utilisateur ne soit au courant. Mais, il faut avoir accès au port SD (elle est également basé sur linux).
Frandroid qui fait dans la désinfo totale :) La source n'a jamais mentionnée la marque NEST ... Et quand on regarde la photo de l'article c'est loin d'être du Nest le thermostat "piraté"... Vous avez vraiment lu l'article source au moins ? Non car la seule mention de Nest c'est un Tweet d'un mec qui imagine les futures problèmes ... C'est bien dommage.
Merci pour le spoil pour ceux qui n'ont pas vu... J'aurai du préciser, ma phrase n'était pas claire. Mille excuses.
J'ai pas vu la 2 encore mais oui je confirme dans la une il le fait deja
Aaaaaaahhhh OK!
Oui, c'est cela qui est dommage.
T'as un thermostat Nexus ? :-D
Et à chaque fois, l'expert en sécurité à une solution payante à nous fournir. Le vrai ransomware, c'est leur antivirus.
Pirater des thermostats, c'est dans la saison une de Mr Robot.
Des Pi dans les thermostats, c'était dans la première...
Selon certains experts (ceux de Kaspersky ce coup-ci), les Belges pourraient être derrière le virus. Soit eux soit les Russes (ou les Rwandais, les Chinois voire les Iraniens). Mais en tous cas, les experts sont formels. Y'a pas que moi, donc. Sinon, l'expression "virus belge" est assez courante depuis une quinzaine d'années.
Heu j'ai déjà pas de port SD sur le nest ...
Ou déconnecter le Nest.. Mais cela fait des visites aux sites et imprime des publicités pour leur faire un peu d'argent.
Merci pour les belges.
C'est là qu'on voit que FrAndroid ne fait que traduire des articles de diverses sources sans aucun ajout. J'ai un thermostat Nest, et il suffit simplement de le débrancher pour que la chaudiere ne recoive plus aucune consigne et arrêter ainsi les 35°C. Pour croire de telles inepties, et que l'on ne sait pas descendre la température, il faut vraiment vouloir des visites sur son site et en faire du click bait... Dommage...
Merci pour le spoil... J'attends que la saison soit complète pour la regarder, mais la première était vraiment géniale
Encore un virus belge, merci les _experts_ de la _sécurité_. Mieux que QuadRooter, il faut carrément télécharger l'appli vérolée, la transférer sur une SD et la mettre dans son thermostat. Et au prix du thermostat, espérer que l'utilisateur, après, voudra bien lâcher un btc pour récupérer le sien...
Que des news alarmantes sur les failles et problèmes de sécurité... Mais au final à chaque fois on risque rien o/ "Si l’utilisateur insère dans le thermostat une carte SD vérolée, des pirates pourraient..." Et tu parle comme si on pouvait être bloqué à 35°...suffirait juste de couper le compteur EDF et la chaudière ou chauffage électrique etc serait coupé !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix