L’internet des objets, c’est formidable… sauf quand cela permet de mettre internet à genoux. On en a eu un exemple inquiétant il y a quelques semaines, lorsqu’une partie des sites web étaient inaccessibles suite au piratage de milliers de webcams mal sécurisées.

Et ce genre d’attaque ne se limite pas aux webcams. La sécurité des ampoules connectées est elle aussi poreuse, comme l’ont démontré des chercheurs de l’Institut des Sciences Weizmann (Israël) et de l’université Dalhousie à Halifax (Canada). Ces derniers ont utilisé… un drone pour hacker des produits Hue.

Pour parvenir à faire de ces ampoules tout ce qu’ils voulaient, les chercheurs ont exploité une faille présente au sein de ZigBee, le protocole radio utilisé par le système de Philips. Ce standard créé dans les années 90 est censé être sécurisé, mais visiblement il reste des trous…

Le rôle du drone a été d’exploiter la vulnérabilité au plus près des ampoules. Le résultat peut prêter à sourire : avoir un accès direct aux bulbes permet d’en modifier la couleur à la demande, ou encore de les faire clignoter ce qui n’est pas très agréable.

Un impact faible, d’après Philips

Mais en imaginant qu’une ville entière soit équipée de ce type d’ampoules, les dégâts pourraient être bien plus importants. Fort heureusement, Philips le créateur de la plateforme Hue a pu corriger la vulnérabilité, suite au signalement des chercheurs.

Mais le fabricant a tout de même estimé que la faille n’était pas si critique. Dans un communiqué, le groupe a indiqué que l’impact de cette vulnérabilité était limité : pour l’exploiter, il faut du matériel spécialisé, des logiciels « non publiés » et être le plus proche possible des ampoules Hue.

Tout cela fait beaucoup, c’est vrai, et si des pirates voulaient vraiment mettre en place une attaque d’envergure, il leur faudrait des moyens. Mais on était dans la même situation lors de la précédente attaque…

Source

Une erreur dans l'article ? Proposez-nous une correction