Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

La smart home de Samsung confie les clés de votre maison aux hackers

Vidéo Pour s'assurer de la sécurité de son domicile, rien de tel que d'une maison connectée que l'on puisse surveiller à distance depuis son smartphone. Mais que se passe-t-il le jour où des hackers parviennent à s'y infiltrer ? C'est ce que sont parvenus à faire des chercheurs de l'Université du Michigan avec la plate-forme SmartThings de Samsung.
Twitter Facebook Linkedin Flipboard Email
×

Des chercheurs de l'Université du Michigan ont découvert plusieurs vulnérabilités importantes dans SmartThings, le système de smart home de Samsung. Leur preuve de concept montre comment ces failles permettent à un attaquant de modifier le code de déverrouillage d'une porte à distance. La découverte est perturbante car SmartThings est l'une des principales plates-formes d'automatisation pour la maison (lumières, thermostats, électroménager, verrous...), et ces vulnérabilités tirent parti de l'architecture du système.

 

Le problème vient du magasin d'applications de SmartThings, qui comporte près de 500 apps (ce succès est aussi la raison pour laquelle les chercheurs s'y sont intéressés). Les jetons d'authentification qu'utilisent la plate-forme SmartThings et ses applications pour s'assurer que l'utilisateur est bien le bon ne sont pas suffisamment sécurisés et peuvent être interceptés, permettant à un attaquant de se faire passer pour le propriétaire légitime et de changer le code d'un verrou de porte à sa guise.

 

Une attribution des droits très libérale

L'autre problème majeur est l'attribution fréquente aux applications de droits dont elles n'ont pas besoin, même quand elles n'en font pas la demande. Les chercheurs ont déterminé que 42% des applications de la plate-forme ont plus de droits qu'elles ne devraient en avoir. Cette faille permet à une simple application de mesure du niveau de charge d'une batterie d'épier le code d'un verrou lorsque l'utilisateur le rentre sur son smartphone et de le communiquer par SMS au malfaiteur.

 

Les deux autres preuves de concept mises au point permettent de désactiver le mode "vacances" d'un système et de créer une fausse alerte incendie. En réponse à ces travaux, SmartThings a publié un communiqué minimisant l'impact des vulnérabilités et rappelant qu'il recommande aux développeurs de suivre ses bonnes pratiques pour éviter tout désagrément. Une réponse peu convaincante au vu des problèmes rapportés...

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale