Votre ampoule LED connectée a-t-elle été piratée ?

publié par Laboratoires Antivirus Bitdefender, le 06 juin 2017

De plus en plus de gadgets et d'appareils domestiques surfent sur la vague de l'Internet des objets (IoT) et sont désormais commercialisés en version connectée à Internet. Mais les constructeurs font-ils de la sécurité une priorité ?

 

Cette question revient sur la table après la découverte par des chercheurs en sécurité d'une faille dans une marque d'ampoules LED, ces dernières sont connectées à Internet et peuvent être contrôlées par le biais d'une application pour smartphone.

La vidéo promotionnelle des ampoules LED éco énergétiques multicolores LIFX donne l’impression d’un produit sure et sain.

 

 

Par conséquent, certains ont dû être surpris par la publication de l’analyse des vulnérabilités des ampoules connectées LIFX par des chercheurs de Context. Ils y décrivent de quelle manière ils ont pu contrôler l'ensemble des ampoules connectées et exposer les configurations réseau des utilisateurs en accédant à une « ampoule maîtresse ».

Il est cependant encourageant de constater que la manipulation effectuée par les chercheurs de Context était loin d'être simple. Ils ont dû démonter physiquement une ampoule LIFX pour accéder à son circuit imprimé (PCB) et procéder à la rétro-ingénierie de son logiciel.

 

 

De plus, l'attaquant potentiel doit se trouver à proximité de sa cible. Il n'est pas possible de manipuler l'éclairage depuis l'autre bout du monde via Internet.

En connaissant l'algorithme d’encodage, la clé, le vecteur d'initialisation et en comprenant le protocole du réseau maillé, nous pourrions injecter des paquets dans le réseau, voler les informations Wi-Fi et déchiffrer les identifiants sans même s'authentifier ou déclencher une alerte. Succès garanti !

Il faut signaler que puisque cette attaque fonctionne sur le réseau maillé sans fil 802.15.4 6LoWPAN, l'attaquant doit donc se trouver à moins de 30 mètres d'une ampoule LIFX vulnérable pour aboutir, ce qui limite le risque d'une exploitation à grande échelle.

Heureusement, les chercheurs de Context ont agi de manière responsable en informant LIFX de ce problème de sécurité potentiel et ont même aidé à développer un correctif, ce qui signifie que l'ensemble du trafic 6LoWPAN est désormais crypté à l'aide d'une clé dérivée des identifiants Wi-Fi.

Dans un article de son blog, la société affirme qu'aucun utilisateur n'a signalé avoir été concerné par ce problème de sécurité.

En de rares occasions, la faille de sécurité pourrait permettre d'exposer les détails de configuration sur la radio maillée, ce qui nécessiterait de démonter une ampoule, de procéder à la rétro-ingénierie de la connexion et du logiciel corrigés, puis d'être présent physiquement et équipé d'un matériel prévu à cet effet dans le périmètre de votre réseau Wi-Fi (et non via Internet). Par exemple, il faudrait qu'un intrus soit caché dans votre jardin et muni d'un équipement technique complexe.
Nous n'avons connaissance d'aucun utilisateur LIFX concerné par le problème. Comme toujours, nous recommandons à l'ensemble de nos clients d'installer la dernière version logicielle et les mises à jour de l'application.

LIFX a publié une mise à jour logicielle pour ses ampoules connectées afin de résoudre ce problème de sécurité.

 

 

Protester contre l'Internet des objets paraît aussi insensé que de croire que Knut le Grand pouvait contrôler les marées.

Que nous soyons pour ou contre, nous n'y échapperons pas. Il ne reste qu'à espérer que les constructeurs, toujours plus nombreux, d'appareils domestiques connectés prennent en compte la sécurité et la confidentialité de leurs clients.

Laboratoires Antivirus Bitdefender

Nous protégeons vos ordinateurs, tablettes et smartphones. Parce que les menaces actuelles sont loin d’être virtuelles et sont de plus en plus virulentes, nous mettons toute notre expertise à votre service pour protéger vos informations.