samedi 5 janvier 2019

(Ah, ça, c'est con alors ! note de rené)


Douche froide : les jacuzzis connectés sont très facilement attaquables
Corentin Durand - 03 janvier 2019 source : Numerama-cyberguerre

Mille jacuzzis connectés peuvent être contrôlés à distance.
La BBC plonge les Anglais dans un bain d’eau glacée : les jacuzzis connectés de la marque Balboa Water Group sont tous facilement attaquables selon des chercheurs. Les attaquants, comme démontré dans l’émission BBC Click, peuvent changer la température de l’eau, l’intensité des bulles et la couleur des lumières du bain à distance. La faute à une faille dans l’application liée au jacuzzi en vente depuis cinq ans au Royaume-Uni.
La firme ayant mis en avant cette faille, Pen Test Partners, est coutumière de ce type de démonstrations : elle avait, toujours auprès de la BBC, montré la fragilité des montres connectées pour enfants MiSafes. Pour l’entreprise, l’anecdote des bains permet de toucher le public avec des sujets extravagants mais qui ramènent toujours aux manquements des entreprises fabriquant des objets connectés.

L’émission Click de la BBC avec Ken Munro de Pen Test Partners, BBC
Connectés au wi-fi pour être contrôlés par une application, les jacuzzis ne comportent pas de résistance particulière pour un attaquant. Avec des données GPS, les chercheurs anglais ont pu attaquer et cibler des bains.
Sur des bases de données publiques — notamment les wardriving databases (comme WIGLE) qui répertorient les appareils dotés d’un signal wi-fi sur une carte — les chercheurs ont identifié des jacuzzis connectés. Dotés de cette information, ils n’ont eu ensuite qu’à utiliser le nom de l’appareil sur le réseau et d’un mot de passe — identique pour tous les appareils de la marque — pour prendre le contrôle du bain.
Si les chercheurs concèdent auprès de la télé anglaise qu’il ne s’agit pas de la faille la plus grave ni la plus répandue de leur carrière — seuls 1000 bains seraient en circulation —, ils veulent croire que le sujet sensibilisera l’opinion. Ken Munro, fondateur de Pen Test Partners, juge « la sécurité des objets connectés grand public n’est pas au point : ces découvertes le soulignent  ».
Le fabricant s’est dit surpris auprès de la BBC de découvrir la faille alors que son application date d’il y a plus de cinq ans et qu’aucun incident n’avait été rapporté. Il travaillerait désormais à prévenir les propriétaires du risque et les encouragerait à changer le mot de passe et leur identifiant. Dans un monde idéal, c’est ce qu’ils auraient dû faire dès la connexion de leur jacuzzi au réseau — c’est du moins ce que la rédaction vous conseille vivement pour vos jacuzzis comme pour vos télés connectées.
Crédit photo de la une : Lars Plougmann

Aucun commentaire: