Rechercher
Fermer ce champ de recherche.

Maison intelligente. Près de 900 foyers connectés vulnérables aux fuites de données en France

Près de 900 foyers connectés seraient vulnérables aux fuites de données en France. Des recherches menées par Avast, géant de la sécurité digitale, révèlent cinq méthodes utilisées par les cybercriminels pour compromettre les serveurs MQTT afin de pirater les logements intelligents

L’enquête (disponible ici en intégralité) démontre que plus de 49 000 serveurs MQTT sont publiquement visibles en ligne dans le monde à cause d’une mauvaise configuration du protocole. Le MQTT (Message Queuing Telemetry Transport) est un protocole de messagerie Souscription-Publication, dédié à l’Internet des Objets et permettant de connecter des systèmes entre eux.

En France, près de 900 serveurs, non protégés par des mots de passe, sont concernés ; les exposant à des risques de fuite de données. Ce protocole MQTT est utilisé pour interconnecter et contrôler les appareils connectés domestiques, via des hubs – des appareils physiques qui centralisent et mettent en relation les objets intelligents. Lors de son implémentation, les particuliers configurent un serveur, généralement situé sur un PC, ou un mini-ordinateur tel que Raspberry Pi, sur lequel les appareils se connectent et communiquent.

Bien que le protocole MQTT en lui-même soit sécurisé, de graves problèmes de protection peuvent survenir s’il n’est pas correctement implémenté et configuré. Les cybercriminels pourraient en effet avoir un accès complet à un domicile et savoir quand les propriétaires, ou occupants, sont présents. Cela leur permettrait de manipuler les appareils au service du divertissement et ménagers, ainsi que les assistants vocaux et voir si des portes et des fenêtres intelligentes sont ouvertes ou fermées. Parfois, les hackers peuvent même suivre à la trace un utilisateur, ce qui peut constituer une menace grave pour la vie privée et la sécurité.

« Il est extrêmement facile d’accéder et de contrôler une maison intelligente, car de nombreux protocoles sont encore mal sécurisés, issus de technologies anciennes, mises au point lorsque la sécurité n’était pas une préoccupation majeure, a déclaré Martin Hron, chercheur en sécurité chez Avast. Les consommateurs doivent être conscients des problèmes de sécurité liés à la connexion de périphériques contrôlant des espaces privés de leur domicile, à des services qu’ils ne maitrisent pas pleinement, et de l’importance de configurer correctement leurs appareils. »

Selon Martin Hron, les hackers peuvent exploiter les serveurs MQTT mal configurés selon les cinq manières suivantes :

  • Les serveurs MQTT ouverts et non protégés peuvent être trouvés en utilisant le moteur de recherche Shodan IoT. Une fois connectés, les cybercriminels sont en mesure de lire les messages, qui ont été transmis avec le protocole MQTT, et de savoir, grâce aux capteurs intelligents, si les fenêtres et les portes sont ouvertes, les lumières allumées ou éteintes, par exemple. Des tiers pouvaient contrôler les appareils connectés, ou au moins compromettre les données en exploitant le protocole MQTT à la place des objets intelligents. Ainsi, un attaquant serait capable d’envoyer des messages au hub pour ouvrir la porte d’un garage.
  • Même si un serveur MQTT est protégé, la compagnie a observé qu’une maison intelligente pouvait être piratée. En effet, le tableau de bord, utilisé pour contrôler son panneau de configuration, s’exécute parfois sur la même adresse IP que le serveur MQTT. De nombreux particuliers utilisent des configurations par défaut, fournies avec le logiciel du hub, qui ne sont bien souvent pas protégées par un mot de passe. Ce qui signifie qu’un hacker peut accéder à tout le tableau de bord et ainsi prendre le contrôle de n’importe quel appareil intelligent présent dans la maison.
  • Même si le serveur MQTT et le tableau de bord sont protégés, avec Home Assistant, un logiciel pour hub, les échanges sont publics et accessibles aux cybercriminels s’ils sont effectués via le protocole ouvert et non protégé Server Message Block (SMB), utilisé pour partager des ressources sur des réseaux internes, principalement sous Windows. L’éditeur de sécurité a également constaté que des répertoires sont partagés avec tous les fichiers de Home Assistant, y compris avec ceux liés à la configuration. Dans les fichiers exposés, Avast en a identifié un contenant des mots de passe et des clés, stockés en texte brut. Or, ces informations peuvent permettre à un pirate de contrôler complètement le domicile d’une personne.
  • Les particuliers peuvent utiliser des outils et des applications pour créer un tableau de bord pour leur maison intelligente, basés sur MQTT, afin de contrôler leurs appareils connectés, notamment avec l’application MQTT Dash. Les utilisateurs ont la possibilité de publier les paramètres, configurés à l’aide du tableau de bord, sur le serveur MQTT. Ainsi, il est très simple de reproduire ces paramètres sur tous les périphériques souhaités. Seulement, si le serveur utilisé n’est pas sécurisé, un cybercriminel peut facilement accéder au tableau de bord et pirater la maison.
  • Avast a par ailleurs pu observer que les serveurs MQTT peuvent, dans certains cas, permettre aux hackers de suivre la localisation des utilisateurs, car ils se concentrent généralement sur les données en temps réel. Nombreux sont ceux connectés à une application mobile appelée OwnTracks. Cette dernière donne aux particuliers la possibilité de partager leur position avec d’autres personnes. Elle peut également être utilisée pour permettre aux appareils connectés de s’activer automatiquement, comme les lampes par exemple, dès lors que les propriétaires ou occupants de la maison intelligente s’en rapprochent. Pour ce faire, ils doivent configurer l’application en se connectant à un serveur MQTT et donc exposer ce dernier à Internet. Au cours de ce processus, les utilisateurs ne sont pas obligés de configurer les informations de connexion, ce qui signifie que n’importe qui peut se connecter au serveur, y compris les cybercriminels. Ils sont alors en mesure d’accéder à un certain nombre d’informations, telles que le niveau de batterie d’un périphérique, l’emplacement en utilisant la latitude, la longitude et les points d’altitude, ainsi que les dates et les heures des déplacements.

Crédit photos : Pixabay (cc)
[cc] Breizh-info.com, 2018, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine

Cet article vous a plu, intrigué, ou révolté ?

PARTAGEZ L'ARTICLE POUR SOUTENIR BREIZH INFO

Les commentaires sont fermés.

ARTICLES EN LIEN OU SIMILAIRES

RENNES

Agression au couteau à Rennes : un jeune homme de 18 ans grièvement blessé

Découvrir l'article

RENNES

Fusillade à Rennes. La population a été abandonnée pendant 45 minutes par les autorités

Découvrir l'article

ST-NAZAIRE

Saint-Nazaire (44) : une femme agressée par un homme de type nord-africain, puis secourue par trois cyclistes

Découvrir l'article

NANTES

Nantes : Trois individus arrêtés pour une série de « vols à la clenche »

Découvrir l'article

International, Social

Crise humanitaire dans l’Etat Karenni : Des religieuses sur le front ont besoin d’un véhicule tout terrain.

Découvrir l'article

RENNES

Rennes. Fusillade sur un point de deal à Maurepas, un homme tire sur ses agresseurs

Découvrir l'article

Sociétal

Pouvoir d’achat, changement climatique et insécurité : les trois principales préoccupations des 18-24 ans ?

Découvrir l'article

International

Sous pression migratoire, des habitants contraints de se munir d’armes à feu à la frontière entre le Québec et les USA

Découvrir l'article

Sociétal

Explosion de la délinquance dans les petites villes : agressions, actes de torture, menaces…

Découvrir l'article

Informatique

Les 5 principales tendances en matière de sécurité logicielle pour 2024

Découvrir l'article

PARTICIPEZ AU COMBAT POUR LA RÉINFORMATION !

Faites un don et soutenez la diversité journalistique.

Nous utilisons des cookies pour vous garantir la meilleure expérience sur Breizh Info. Si vous continuez à utiliser le site, nous supposerons que vous êtes d'accord.

Ne ratez pas notre prochaine enquête sans filtre sur un sujet tabou !

Inscrivez-vous dès maintenant à notre newsletter confidentielle.

🔍 Recevez nos analyses pointues et nos scoops exclusifs directement dans votre boîte mail. 🔍

Clicky