La smart home de Samsung confie les clés de votre maison aux hackers

Pour s'assurer de la sécurité de son domicile, rien de tel que d'une maison connectée que l'on puisse surveiller à distance depuis son smartphone.

Mais que se passe-t-il le jour où des hackers parviennent à s'y infiltrer ?

C'est ce que sont parvenus à faire des chercheurs de l'Université du Michigan avec la plate-forme SmartThings de Samsung.

Partager

Des chercheurs de l'Université du Michigan ont découvert plusieurs vulnérabilités importantes dans SmartThings, le système de smart home de Samsung. Leur preuve de concept montre comment ces failles permettent à un attaquant de modifier le code de déverrouillage d'une porte à distance. La découverte est perturbante car SmartThings est l'une des principales plates-formes d'automatisation pour la maison (lumières, thermostats, électroménager, verrous...), et ces vulnérabilités tirent parti de l'architecture du système.

Le problème vient du magasin d'applications de SmartThings, qui comporte près de 500 apps (ce succès est aussi la raison pour laquelle les chercheurs s'y sont intéressés). Les jetons d'authentification qu'utilisent la plate-forme SmartThings et ses applications pour s'assurer que l'utilisateur est bien le bon ne sont pas suffisamment sécurisés et peuvent être interceptés, permettant à un attaquant de se faire passer pour le propriétaire légitime et de changer le code d'un verrou de porte à sa guise.

Une attribution des droits très libérale

L'autre problème majeur est l'attribution fréquente aux applications de droits dont elles n'ont pas besoin, même quand elles n'en font pas la demande. Les chercheurs ont déterminé que 42% des applications de la plate-forme ont plus de droits qu'elles ne devraient en avoir. Cette faille permet à une simple application de mesure du niveau de charge d'une batterie d'épier le code d'un verrou lorsque l'utilisateur le rentre sur son smartphone et de le communiquer par SMS au malfaiteur.

Les deux autres preuves de concept mises au point permettent de désactiver le mode "vacances" d'un système et de créer une fausse alerte incendie. En réponse à ces travaux, SmartThings a publié un communiqué minimisant l'impact des vulnérabilités et rappelant qu'il recommande aux développeurs de suivre ses bonnes pratiques pour éviter tout désagrément. Une réponse peu convaincante au vu des problèmes rapportés...

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS