Découvertes

Une faille de sécurité permet aux hackers de vous espionner via des aspirateurs connectés

Capture d'écran Check Point Software Technologies, Ltd.

La faille de sécurité "HomeHack" permettait de prendre le contrôle de n’importe quel objet connecté du fabricant coréen LG. Mais appliquée aux robots aspirateurs, elle serait un moyen offert aux hackers d'observer l'intérieur des maisons.

Publicité

Pratiques parce qu'ils nous simplifient la vie et qu'on peut les piloter depuis une simple application mobile, les objets connectés sont aussi potentiellement de véritables chevaux de Troie dans notre intimité.

VOIR AUSSI : Objets connectés, l'impossible sécurité ?

Les experts de l'entreprise de cybersécurité Check Point ont révélé une faille de sécurité, "HomeHack", via laquelle il était possible de prendre le contrôle à distance d'un aspirateur LG Hom-Bot et d'espionner l'intérieur d'une maison au moyen de la caméra intégrée, comme le montre cette vidéo :

Communiqué à LG en juillet dernier, le problème a depuis été corrigé par le constructeur en septembre, mais une question demeure : comment être certain que les objets connectés qui nous entourent sont assez sécurisés ? En effet, il est régulièrement proposé aux clients de synchroniser l'ensemble de leurs appareils sur un même système, ici l'application mobile SmartThinQ de LG, disponible sur Android et iOS.

Problème : il suffit d'avoir accès une première fois à l'application pour être tout à coup en contrôle des machines à laver, aspirateurs, fours, climatiseurs et réfrigérateurs de millions d'utilisateurs. C'est ce qui a été rendu possible ici à cause d'une procédure d'authentification insuffisamment sécurisée : pour les spécialistes de Check Point, il a suffi de créer un compte LG puis installer un dispositif Man-in-the-middle (attaque de l'homme du milieu) pour intercepter les requêtes sans que personne ne se rendre compte que la communication a été compromise.

Les recommandations de la CNIL

À moins de faire confiance aveuglément aux constructeurs, difficile aujourd'hui de réellement savoir si les objets connectés ne sont pas faillibles. Mais si vous vous décidez à les laisser envahir votre intimité, voici quelques recommandations a minima de la Commission nationale de l'nformatique et des libertés (CNIL) :

  • Protéger par un mot de passe l’écran de déverrouillage du smartphone (ou de la tablette) utilisé avec l’objet connecté ;
  • Être vigilants sur les aspects de sécurisation, en particulier pour les objets produisant des données sensibles, sur votre santé ou sur vos enfants ;
  • Être attentif concernant votre vie privée et celle des autres, notamment en évitant de capter ou de stocker des données sensibles, et en désactivant le partage automatique sur les réseaux sociaux ;
  • S’assurer de la possibilité d’accéder aux données et de les supprimer ;
  • Penser à effacer ses données lorsqu’on n’utilise plus un service.

Dans le cas des objets qui nécessitent l’ouverture d’un compte en ligne, il est recommandé :

  • D’utiliser au maximum des pseudonymes au lieu de vos véritables noms et prénoms ;
  • De ne communiquer que le minimum d’informations nécessaires au service (par exemple, donnez une date de naissance au 1er janvier si le système a besoin de déterminer un âge) ;
  • De créer et de communiquer une adresse de messagerie différente pour chaque objet, chaque service en ligne, et d’éviter d’utiliser une adresse qui serait partagée par les personnes de votre foyer (famille.dupont@...) ;
  • De ne pas employer le même mot de passe pour plusieurs services en ligne.

Quelque chose à ajouter ? Dites-le en commentaire.

Le résumé de la semaineFrance 24 vous propose de revenir sur les actualités qui ont marqué la semaine