Les objets connectés promettent d’envahir nos vies, est-ce une bonne nouvelle ? Deux chercheurs en sécurité informatique ont piraté un thermostat à distance réussissant à le bloquer à une température définie.

thermostat-nest-piraté

Quand un épisode de Mr. Robot devient réalité

Vous imaginez vous un jour pris en otage par votre thermostat connecté ? Plus précisément par des hackers qui, tranquillement installés chez eux, à l’autre bout du monde, joueraient à l’ascenseur thermique avec votre installation vous faisant passer de la Sibérie à la chaleur étouffante du Sahara. Le thermostat ne serait déverrouillé qu’après l’obtention d’une rançon.

Si la domotique a de l’avenir, certains s’en réjouissent sans doute déjà. Ce scénario, sorti tout droit de la saison 2 de Mr Robot, pourrait en effet représenter le futur du piratage.

Une faille dans le Thermostat permet d’en prendre le contrôle

Andrew Tierney et Ken Muro, deux chercheurs en sécurité informatique, ont réussi à débusquer une faille dans le thermostat connecté et à y implanter leur ransomware maison comme ils ont pu en faire la démonstration à l’IoT Village en marge de la hacking conférence DefCon.

thermostat-nest-piraté-

Grâce à cette vulnérabilité, il est possible d’exécuter n’importe quel virus, ransomware et autres programmes malveillants. Pour cela, il suffit que l’utilisateur insère une carte SD vérolée, qui permet normalement de gérer les fonds d’écran personnalisés et de charger les paramètres. Libre aux pirates ensuite de bloquer la température au degré choisi, de transmettre la demande de rançon directement sur l’écran LCD de l’appareil et de procéder ensuite à son déverrouillage après versement de ladite rançon.

Un scénario qui laisse craindre le pire pour nos objets connectés

Les chercheurs n’ont pas communiqué publiquement sur la faille et ont alerté l’entreprise concernée de leur trouvaille afin qu’il la corrige. Ces white hat ont tout de même admis qu’un tel piratage n’était pas chose aisée puisqu’il oblige les utilisateurs à télécharger et transférer eux même un logiciel malveillant sur leur carte SD et in fine sur leur thermos. Mais ce genre de scénario n’est pas nouveau et pourrait se (re)produire.

Cette démonstration a toutefois mis en lumière le potentiel danger des objets connectés voués à un usage domestique (thermostats, réfrigérateurs), tout comme tous ceux connectés au WiFi, qui est une porte d’entrée de choix dans le foyer des internautes.

Source

Une erreur dans l'article ? Proposez-nous une correction