Ces objets connectés sont criblés de failles, il faut les fuir comme la peste

1 / 2

Ces objets connectés sont criblés de failles, il faut les fuir comme la peste

Trouver des failles dans les objets connectés est devenu le passe-temps favori d’Alex Balan, chercheur en sécurité chez Bitdefender Labs. Comme l’année dernière, il a profité de la conférence RSA 2020 pour exposer ses plus belles trouvailles, à commencer par iBaby Monitor M6S, un appareil pour surveiller son bébé.

Comme beaucoup d’objets connectés aujourd’hui, cet appareil est connecté en permanence avec un espace de stockage cloud Amazon S3, pour sauvegarder les images et les vidéos. Mais une faille dans la gestion des identifiants permet, au final, d’accéder au contenu de la totalité de l’espace de stockage. Il est donc possible d’accéder aux images et vidéos des autres utilisateurs.

Pour des raisons similaires, il est également possible d’accéder au serveur de notifications MQTT utilisé par iBaby Monitor. Il suffit qu’un pirate attende l’arrivée d’un nouvel utilisateur sur ce serveur pour obtenir alors des clés secrètes qui lui permettront d’accéder à l’appareil à distance. Il pourra alors capter les flux vidéo et audio, les enregistrer, capturer des images, ou encore jouer de la musique.

Des attaques indétectables

Un autre appareil criblé de failles est la caméra de surveillance Guardzilla. Là encore, une mauvaise gestion des identifiants permet l’accès à la totalité de l’espace de stockage Amazon S3. Un bug dans le partage de flux permet, en plus, de se connecter en temps réel sur les flux...

Lire la suite sur 01net.com

A lire aussi