Tech

Un compte GMail piraté par un frigo Samsung

ActualitéClassé sous :Sécurité , piratage informatique , sécurité objets connectés

Lors de la dernière conférence DefCon, une équipe d'experts en sécurité a démontré la possibilité de pirater un compte de messagerie GMail via un modèle spécifique de réfrigérateur connecté Samsung. Bien que difficilement reproductible, ce piratage met en lumière les problématiques de sécurité inédites que pose l'avènement de l'Internet des objets.

Ce réfrigérateur connecté de la marque Samsung (référence RF28HMELBSR) présente une faille de sécurité mise à jour par une équipe de chercheurs. L’appareil, qui permet notamment d’afficher son agenda Gmail, n’est pas capable de vérifier la validité du certificat SSL (Secure Sockets Layer). Conséquence : un cyberpirate pourrait, en théorie, pratiquer une attaque de type « homme du milieu » et dérober des identifiants de connexion. Ce scénario n’a pas été mis en pratique pour le moment. © Samsung

Avec l'Internet des objets, il est désormais possible d'étendre le réseau des réseaux à toutes sortes d'appareils et de gadgets qui étaient jusqu'à présent « hors ligne ». Même les voitures deviennent connectées grâce aux progrès de l'électronique embarquée. Mais ce développement, qui ouvre de nouvelles perspectives en matière d'usage, néglige parfois un aspect fondamental : la sécurité.

Cela s'est encore manifesté récemment avec le piratage - dans le cadre d'une démonstration technique - d'un compte GMail via un réfrigérateur connecté. Construit par Samsung, le produit offre diverses fonctionnalités dont celui d'afficher l'agenda de son compte de courrier électronique. Le problème, c'est que l'appareil électroménager en question n'est pas capable de vérifier la validité du certificat de sécurité SSL.

« Malgré la présence du protocole de sécurisation SSL, le réfrigérateur ne parvient pas à valider le certificat. Donc, des pirates parvenant à accéder au même réseau Wi-Fi que celui sur lequel se trouve le frigo [...] peuvent opérer une attaque de type "homme du milieu" pour accéder au client affichant le calendrier sur le frigo et dérober les données de connexion [utilisées pour se connecter à Gmail, NDLR», expliquent à The Register les chercheurs à l'origine de cette découverte.

Le secteur des objets connectés envahit peu à peu le monde de la cuisine. Certains ustensiles ont ainsi leur application dédiée. Ici, celle du robot de cuisine HomeCooker de Philips. © Philips Communications, Flickr, CC by-nc-nd 2.0

La sécurité des réfrigérateurs déjà mise en cause

Bien sûr, la démonstration effectuée avec le réfrigérateur Samsung est difficilement reproductible dans la réalité au regard des multiples conditions à respecter. Il faut en effet que la cible possédant le réfrigérateur raccorde son compte GMail tandis que l'assaillant doit se trouver à portée du Wi-Fi pour pouvoir tenter quelque chose. A priori, une attaque de cette nature n'est pas encore survenue.

Mis au courant de ce problème, Samsung a fait savoir qu'une analyse interne était en cours pour confirmer la découverte des chercheurs en sécurité et, le cas échéant, produire un correctif de sécurité.

Début 2014, la sécurité des frigos connectés avait déjà été questionnée après le piratage d'un réfrigérateur pour envoyer du spam. Quelques mois plus tard, ce sont les ampoules LIFX qui ont fait parler d'elles à la suite de la découverte d'une faille de sécurité qui aurait permis à un assaillant d'accéder ensuite au réseau Wi-Fi domestique.