Maison intelligente. Près de 900 foyers connectés vulnérables aux fuites de données en France

Près de 900 foyers connectés seraient vulnérables aux fuites de données en France. Des recherches menées par Avast, géant de la sécurité digitale, révèlent cinq méthodes utilisées par les cybercriminels pour compromettre les serveurs MQTT afin de pirater les logements intelligents

L’enquête (disponible ici en intégralité) démontre que plus de 49 000 serveurs MQTT sont publiquement visibles en ligne dans le monde à cause d’une mauvaise configuration du protocole. Le MQTT (Message Queuing Telemetry Transport) est un protocole de messagerie Souscription-Publication, dédié à l’Internet des Objets et permettant de connecter des systèmes entre eux.

En France, près de 900 serveurs, non protégés par des mots de passe, sont concernés ; les exposant à des risques de fuite de données. Ce protocole MQTT est utilisé pour interconnecter et contrôler les appareils connectés domestiques, via des hubs – des appareils physiques qui centralisent et mettent en relation les objets intelligents. Lors de son implémentation, les particuliers configurent un serveur, généralement situé sur un PC, ou un mini-ordinateur tel que Raspberry Pi, sur lequel les appareils se connectent et communiquent.

Bien que le protocole MQTT en lui-même soit sécurisé, de graves problèmes de protection peuvent survenir s’il n’est pas correctement implémenté et configuré. Les cybercriminels pourraient en effet avoir un accès complet à un domicile et savoir quand les propriétaires, ou occupants, sont présents. Cela leur permettrait de manipuler les appareils au service du divertissement et ménagers, ainsi que les assistants vocaux et voir si des portes et des fenêtres intelligentes sont ouvertes ou fermées. Parfois, les hackers peuvent même suivre à la trace un utilisateur, ce qui peut constituer une menace grave pour la vie privée et la sécurité.

« Il est extrêmement facile d’accéder et de contrôler une maison intelligente, car de nombreux protocoles sont encore mal sécurisés, issus de technologies anciennes, mises au point lorsque la sécurité n’était pas une préoccupation majeure, a déclaré Martin Hron, chercheur en sécurité chez Avast. Les consommateurs doivent être conscients des problèmes de sécurité liés à la connexion de périphériques contrôlant des espaces privés de leur domicile, à des services qu’ils ne maitrisent pas pleinement, et de l’importance de configurer correctement leurs appareils. »

Selon Martin Hron, les hackers peuvent exploiter les serveurs MQTT mal configurés selon les cinq manières suivantes :

  • Les serveurs MQTT ouverts et non protégés peuvent être trouvés en utilisant le moteur de recherche Shodan IoT. Une fois connectés, les cybercriminels sont en mesure de lire les messages, qui ont été transmis avec le protocole MQTT, et de savoir, grâce aux capteurs intelligents, si les fenêtres et les portes sont ouvertes, les lumières allumées ou éteintes, par exemple. Des tiers pouvaient contrôler les appareils connectés, ou au moins compromettre les données en exploitant le protocole MQTT à la place des objets intelligents. Ainsi, un attaquant serait capable d’envoyer des messages au hub pour ouvrir la porte d’un garage.
  • Même si un serveur MQTT est protégé, la compagnie a observé qu’une maison intelligente pouvait être piratée. En effet, le tableau de bord, utilisé pour contrôler son panneau de configuration, s’exécute parfois sur la même adresse IP que le serveur MQTT. De nombreux particuliers utilisent des configurations par défaut, fournies avec le logiciel du hub, qui ne sont bien souvent pas protégées par un mot de passe. Ce qui signifie qu’un hacker peut accéder à tout le tableau de bord et ainsi prendre le contrôle de n’importe quel appareil intelligent présent dans la maison.
  • Même si le serveur MQTT et le tableau de bord sont protégés, avec Home Assistant, un logiciel pour hub, les échanges sont publics et accessibles aux cybercriminels s’ils sont effectués via le protocole ouvert et non protégé Server Message Block (SMB), utilisé pour partager des ressources sur des réseaux internes, principalement sous Windows. L’éditeur de sécurité a également constaté que des répertoires sont partagés avec tous les fichiers de Home Assistant, y compris avec ceux liés à la configuration. Dans les fichiers exposés, Avast en a identifié un contenant des mots de passe et des clés, stockés en texte brut. Or, ces informations peuvent permettre à un pirate de contrôler complètement le domicile d’une personne.
  • Les particuliers peuvent utiliser des outils et des applications pour créer un tableau de bord pour leur maison intelligente, basés sur MQTT, afin de contrôler leurs appareils connectés, notamment avec l’application MQTT Dash. Les utilisateurs ont la possibilité de publier les paramètres, configurés à l’aide du tableau de bord, sur le serveur MQTT. Ainsi, il est très simple de reproduire ces paramètres sur tous les périphériques souhaités. Seulement, si le serveur utilisé n’est pas sécurisé, un cybercriminel peut facilement accéder au tableau de bord et pirater la maison.
  • Avast a par ailleurs pu observer que les serveurs MQTT peuvent, dans certains cas, permettre aux hackers de suivre la localisation des utilisateurs, car ils se concentrent généralement sur les données en temps réel. Nombreux sont ceux connectés à une application mobile appelée OwnTracks. Cette dernière donne aux particuliers la possibilité de partager leur position avec d’autres personnes. Elle peut également être utilisée pour permettre aux appareils connectés de s’activer automatiquement, comme les lampes par exemple, dès lors que les propriétaires ou occupants de la maison intelligente s’en rapprochent. Pour ce faire, ils doivent configurer l’application en se connectant à un serveur MQTT et donc exposer ce dernier à Internet. Au cours de ce processus, les utilisateurs ne sont pas obligés de configurer les informations de connexion, ce qui signifie que n’importe qui peut se connecter au serveur, y compris les cybercriminels. Ils sont alors en mesure d’accéder à un certain nombre d’informations, telles que le niveau de batterie d’un périphérique, l’emplacement en utilisant la latitude, la longitude et les points d’altitude, ainsi que les dates et les heures des déplacements.

Crédit photos : Pixabay (cc)
[cc] Breizh-info.com, 2018, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine

Cet article vous a plu, intrigué, ou révolté ?

PARTAGEZ L'ARTICLE POUR SOUTENIR BREIZH INFO

Les commentaires sont fermés.

ARTICLES EN LIEN OU SIMILAIRES

ST-NAZAIRE

Saint-Nazaire : un plan renforcé face à la spirale de violence et de trafics, mais l’inefficacité persiste

Découvrir l'article

PLOËRMEL

Ploërmel : un conseil local pour renforcer la sécurité et la prévention de la délinquance

Découvrir l'article

A La Une, RENNES

Roazhon BAC. Une plongée dans le quotidien d’hommes et de femmes qui veillent sur Rennes, par Samuel Nohra (Interview)

Découvrir l'article

Informatique

Bonnes pratiques pour sécuriser votre identité numérique

Découvrir l'article

NANTES

Nantes : Les autorités dépassées face à la banalisation des violences urbaines et des fusillades

Découvrir l'article

A La Une, Sociétal

Sécurité : le 33e Baromètre Fiducial révèle une inquiétude croissante des Français

Découvrir l'article

Sociétal, Tribune libre

La fin de l’illusion de l’État de droit : le contrat social est rompu en République française [L’Agora]

Découvrir l'article

NANTES

Orvault (44. L’échec d’une politique sécuritaire écologiste ?

Découvrir l'article

Politique

Pouvoir d’achat, immigration, sécurité : les préoccupations principales des Français selon le baromètre Ipsos – La Tribune Dimanche

Découvrir l'article

Tribune libre

Sécurité des citoyens…que faire quand l’Etat est défaillant ? [L’Agora]

Découvrir l'article

PARTICIPEZ AU COMBAT POUR LA RÉINFORMATION !

Faites un don et soutenez la diversité journalistique.

Nous utilisons des cookies pour vous garantir la meilleure expérience sur Breizh Info. Si vous continuez à utiliser le site, nous supposerons que vous êtes d'accord.

Clicky