Une \u00e9quipe d’informaticiens du College of William & Mary a test\u00e9 la s\u00e9curit\u00e9 de plusieurs produits de maison intelligente actuellement sur le march\u00e9 et a d\u00e9couvert des vuln\u00e9rabilit\u00e9s importantes qui pourraient obliger les entreprises technologiques \u00e0 repenser la fa\u00e7on dont leurs appareils interagissent.<\/p>\n
L’\u00e9quipe a examin\u00e9 une attaque appel\u00e9e "escalade lat\u00e9rale des privil\u00e8ges", qui compromet un appareil ou une application \u00e0 faible enjeu pour acc\u00e9der \u00e0 un appareil \u00e0 enjeu \u00e9lev\u00e9 comme une cam\u00e9ra de s\u00e9curit\u00e9. Les r\u00e9sultats r\u00e9v\u00e8lent des failles, pas n\u00e9cessairement dans les appareils eux-m\u00eames, mais dans l’architecture des plates-formes qui servent de hub central de la maison intelligente.<\/p>\n Et bien que trop souvent ces vuln\u00e9rabilit\u00e9s se retrouvent sur des appareils sans nom appartenant \u00e0 une poign\u00e9e de personnes, l’\u00e9quipe de recherche a d\u00e9couvert des probl\u00e8mes n\u00e9cessitant une am\u00e9lioration des produits Philips Hue et Nest lors de leur \u00e9valuation.<\/p>\n "C’est un probl\u00e8me logiciel qui se r\u00e9pand dans l’environnement physique, et ce n’est pas quelque chose que vous pouvez r\u00e9soudre imm\u00e9diatement", a d\u00e9clar\u00e9 l’auteur de l’\u00e9tude Adwait Nadkarni, professeur adjoint d’informatique \u00e0 William & Mary. "Si vous ne s\u00e9curisez pas ces appareils \u00e0 faible s\u00e9curit\u00e9, m\u00eame une communication indirecte entre ces deux appareils peut mettre votre maison intelligente en danger."<\/p>\n Nadkarni et ses coll\u00e8gues ont utilis\u00e9 une configuration de maison intelligente simul\u00e9e o\u00f9 ils ont connect\u00e9 plusieurs appareils \u00e0 une plate-forme de maison intelligente et ont vu jusqu’o\u00f9 les attaques pouvaient aller. Avec plus de 20 milliards de produits pour la maison intelligente qui devraient \u00eatre utilis\u00e9s d’ici 2020, leur travail a des implications consid\u00e9rables pour la s\u00e9curit\u00e9 physique des utilisateurs. L’\u00e9tude<\/a> a \u00e9t\u00e9 accept\u00e9e \u00e0 la conf\u00e9rence de l’Association for Computing Machinery (ACM) sur la s\u00e9curit\u00e9 et la confidentialit\u00e9 des donn\u00e9es et des applications<\/a> et sera pr\u00e9sent\u00e9e en mars 2019.<\/p>\n La domotique est pilot\u00e9e par la mise en \u0153uvre de routines, qui sont des s\u00e9quences d’actions d’applications et d’appareils qui sont ex\u00e9cut\u00e9es sur un ou plusieurs d\u00e9clencheurs. Par exemple, lorsque vous activez le syst\u00e8me d’alarme avant de quitter la maison, vous pouvez programmer votre thermostat intelligent pour qu’il s’\u00e9teigne automatiquement afin d’\u00e9conomiser de l’\u00e9lectricit\u00e9. Les plates-formes de maison intelligente telles que Google Works with Nest, Samsung SmartThings et Philips Hue gardent une trace de tous les appareils connect\u00e9s et de leurs \u00e9tats via des variables dans un magasin de donn\u00e9es centralis\u00e9.<\/p>\n "Un capteur de pr\u00e9sence indiquera si un utilisateur est \u00e0 la maison et ajustera cette variable dans le magasin de donn\u00e9es centralis\u00e9 en cons\u00e9quence", a d\u00e9clar\u00e9 Nadkarni. "Ensuite, le reste des appareils r\u00e9agira comme vous le souhaitez lorsque vous \u00eates \u00e0 la maison – les lumi\u00e8res s’allument, le thermostat s’allume, etc. – mais dans certains cas, ces variables peuvent \u00eatre exploit\u00e9es."<\/p>\n Par exemple, les pirates pourraient compromettre un appareil \u00e0 faible s\u00e9curit\u00e9 comme vos lumi\u00e8res, qui ont acc\u00e8s \u00e0 la variable de pr\u00e9sence. S’ils changent son \u00e9tat pour dire \u00e0 tort \u00e0 la plate-forme que vous \u00eates chez vous alors que vous \u00eates vraiment \u00e0 des kilom\u00e8tres en vacances, les attaquants pourraient modifier les actions des dispositifs de haute s\u00e9curit\u00e9 comme les cam\u00e9ras et les serrures de porte.<\/p>\n Les chercheurs ont d\u00e9couvert que les routines prises en charge par Nest permettent aux appareils et aux applications \u00e0 faible s\u00e9curit\u00e9 de modifier indirectement l’\u00e9tat des appareils \u00e0 haute s\u00e9curit\u00e9 en modifiant les variables partag\u00e9es sur lesquelles ils reposent tous les deux. Ils ont pu effectuer une \u00e9l\u00e9vation lat\u00e9rale des privil\u00e8ges en compromettant l’ application Kasa<\/a>, modifiant indirectement l’\u00e9tat d’une variable, qui a d\u00e9sactiv\u00e9 la cam\u00e9ra de s\u00e9curit\u00e9 Nest.<\/p>\n![\"Vos](\"https:\/\/hitech.mediadoma.com\/wp-content\/uploads\/2022\/08\/post-192388-62f246264fe75.jpg\")
<\/a><\/p>\nS’infiltrer dans vos routines<\/h4>\n
![\"Vos](\"https:\/\/hitech.mediadoma.com\/wp-content\/uploads\/2022\/08\/post-192388-62f2462868927.jpg\")
<\/a><\/p>\n
![\"Vos](\"https:\/\/hitech.mediadoma.com\/wp-content\/uploads\/2022\/08\/post-192388-62f2462ab29ae.jpg\")
<\/a><\/p>\n