Publicité

En ce qui concerne la technologie Smart Home, les produits dont la raison d’être est discutable ne manquent pas, pour le moins. En fait, je a écrit un article entier Réfrigérateurs et cuiseurs à riz contrôlés par le Web: 9 des appareils électroménagers les plus stupidesIl existe de nombreux appareils domestiques intelligents qui méritent votre temps et votre argent. mais il y a aussi des espèces qui ne devraient jamais voir le jour. Voici 9 des pires. Lire la suite sur eux en avril de cette année. L'un des appareils que j'ai mentionnés était le iKettle, par Smarter Labs.

L'iKettle est une bouilloire compatible WiFi. Oui, tu l'as bien lu. Apparemment, la tâche de chauffer l'eau à son point d'ébullition est quelque chose qui ne peut être accomplie qu'avec l'intégration WiFi.

Oh, et ai-je mentionné que cela venait avec une faille de sécurité massive et béante qui avait le potentiel de faire exploser des réseaux WiFi entiers?

Comment l'attaque a fonctionné

Oui, il s'avère que l'iKettle n'est pas trop chaud (

instagram viewer
Désolé) en matière de sécurité. En quelques étapes, vous pouvez le convaincre de cracher le mot de passe WiFi de l'utilisateur. Alors, comment pirater une bouilloire?

Tout d'abord, l'attaquant devrait identifier un réseau sans fil avec une iKettle connectée. Ensuite, ils créeraient leur propre réseau sans fil en utilisant le même SSID.

ikettle-main

Lorsque l'iKettle bascule sur ce réseau, l'attaquant peut s'y connecter via le port 23 en utilisant Telnet Qu'est-ce que Telnet et quelles sont ses utilisations? [MakeUseOf explique]Telnet est l'un de ces termes techniques que vous pouvez parfois entendre, mais pas dans une annonce ou une liste de blanchisserie de tout produit que vous pouvez acheter. C'est parce que c'est un protocole ou une langue ... Lire la suite . Il s'agit d'un outil gratuit similaire à SSH, qui permet aux utilisateurs de gérer à distance des ordinateurs.

L'iKettle demandera alors à l'attaquant un mot de passe à six chiffres. Cela peut être forcé brutalement, mais si la bouilloire a été configurée avec un appareil Android, elle a le mot de passe par défaut 000000. Une fois authentifié, l'attaquant indiquera à la bouilloire de répertorier ses paramètres. À ce stade, il crachera l'intégralité du mot de passe WiFi mis en cache en texte brut, permettant à un attaquant d'accéder à l'ensemble du réseau.

Le problème de la gestion

Un porte-parole de Smarter Labs a tenu à souligner qu’une solution à ce problème n’était pas loin.

"Nous prenons la sécurité très au sérieux ici chez Smarter et nous avons travaillé avec nos ingénieurs pour nous assurer que nos nouveaux produits ne rencontrent pas de problèmes de sécurité. Nous mettrons à jour le produit concerné en novembre pour éliminer ce problème. »

Ils ont également souligné que la prochaine iKettle ne sera pas affectée:

«Notre nouveau produit et notre application ont mis à jour des fonctionnalités de sécurité qui ne sont pas pertinentes pour [la vulnérabilité].»

Les utilisateurs avec une bouilloire affectée peuvent la mettre à jour à l'aide de l'application iKettle, disponible pour iPhone et Android. En attendant, il peut être judicieux de connecter un deuxième routeur à votre réseau domestique avec un SSID différent et de connecter votre bouilloire à celui-ci. Vous pouvez trouver un routeur parfaitement adapté d'Amazon pour aussi peu que 10 $.

Cet épisode nous rappelle à quel point les produits pour la maison intelligente que nous utilisons sont essentiellement des ordinateurset comment ils font face aux mêmes problèmes de sécurité que les ordinateurs traditionnels. C'est bizarre d'imaginer quelqu'un utilisant Telnet pour se connecter à une bouilloire, mais apparemment c'est une chose.

Alors que le domaine de la maison intelligente mûrit inévitablement, les fabricants seront soumis à une pression croissante pour prendre en compte la sécurité de leurs appareils. Et lorsque les choses tournent mal (comme ils le font inévitablement), ils peuvent s'attendre à avoir les pieds au-dessus des charbons.

couvercle ikettle

Les fabricants devront concevoir leurs produits pour qu'ils soient faciles à réinitialiser et à mettre à jour. Ils devront adopter une approche proactive de la sécurité de leurs appareils et travailler avec des chercheurs en sécurité. Ils devront apprendre comment gérer la divulgation Divulgation complète ou responsable: divulgation des vulnérabilités de sécuritéLes vulnérabilités de sécurité dans les progiciels populaires sont découvertes tout le temps, mais comment sont-elles signalées aux développeurs et comment les pirates informatiques sont-ils informés des vulnérabilités qu'ils peuvent exploiter? Lire la suite et leur relations avec la communauté de la sécurité Oracle veut que vous cessiez de leur envoyer des bugs - voici pourquoi c'est fouOracle est dans l'eau chaude sur un article de blog malavisé du chef de la sécurité, Mary Davidson. Cette démonstration de la façon dont la philosophie de sécurité d'Oracle s'écarte du courant dominant n'a pas été bien reçue dans la communauté de la sécurité ... Lire la suite , ce que certains ont trouvé incroyablement difficile à faire.

Les fabricants devront réfléchir à la manière d'assurer la sécurité de leurs appareils en cas de panne. Plus important encore, ils devront établir un consensus avec leurs clients sur la durée pendant laquelle ils devront maintenir un produit particulier.

Obsolescence imprévue

Un de mes amis a un micro-ondes qui est littéralement ancien. Cela ressemble à une hyperbole, mais ce n'est pas le cas. Il l'a hérité de ses parents, qui l'ont acheté à son tour dans un hypermarché aujourd'hui disparu dans les années 1980. Permettez-moi de mettre cela en contexte: son micro-ondes est plus vieux que moi.

Mais voici le problème; c'est un micro-ondes parfaitement adéquat. Près de trente ans plus tard, il peut encore transformer un plat cuisiné de lasagnes surgelées en une mare fumante de fromage fondu, et il peut toujours décongeler facilement de la viande congelée. Il n'y a littéralement aucune raison de le remplacer.

ikettle-micro-ondes

C’est ça le truc des produits blancs traditionnels. Ils ne sont pas soumis aux mêmes cycle d'obsolescence planifiée Tu vas consommer: l'histoire de l'électronique grand public [Dossier]Chaque année, des expositions à travers le monde présentent de nouveaux appareils de haute technologie; jouets chers qui viennent avec beaucoup de promesses. Ils visent à rendre nos vies plus faciles, plus amusantes, super connectées, et bien sûr, ils sont un statut ... Lire la suite que la plupart des technologies sont. Il n’existe pas de «cycle de rafraîchissement du réfrigérateur». Il n’existe pas de «mise à niveau de deux ans» dans le monde des produits blancs.

Autre chose: le micro-ondes de mon ami a été fabriqué dans un pays qui n’existe plus (la République démocratique allemande, également connue sous le nom d’Allemagne de l’Est), par une entreprise qui a également cessé d’exister. Mais cela ne lui a pas empêché de faire des nachos au micro-ondes au fromage, trente ans plus tard.

C'est une question différente pour la technologie de la maison intelligente. Il est fort probable que votre bouilloire informatisée ou votre parapluie compatible WiFi nécessitera des mises à jour périodiques des performances et de la sécurité.

Le problème est que les programmeurs sont coûteuxet il est fondamentalement irréaliste de s'attendre à ce que les éditeurs de logiciels maintiennent leurs produits indéfiniment. Finalement, ils doivent laisser tomber, comme Microsoft l'a fait avec Windows XP Ce que Windows XPocalypse signifie pour vousMicrosoft va supprimer la prise en charge de Windows XP en avril 2014. Cela a de graves conséquences pour les entreprises et les consommateurs. Voici ce que vous devez savoir si vous utilisez toujours Windows XP. Lire la suite début 2014.

Ensuite, il y a le petit problème des entreprises technologiques qui ont tendance à imploser comme The Death Star, laissant dans leur sillage une montagne d'autocollants promotionnels pour ordinateur portable et de code désormais non pris en charge. Pour vous donner seulement trois (parmi de nombreux) exemples, il y a Silicon Graphics, Palm et Commodore.

Si vous achetez un produit qui a intrinsèquement besoin de beaucoup de gestion juste pour le garder en sécurité et fonctionner correctement, vous prenez un pari que la société maintiendra pour le soutenir. Ce n'est pas toujours une valeur sûre.

Protéger l'Internet des objets

À l'heure actuelle, l'Internet des objets est une idée naissante, encore à moitié formée. C'est encore une expérience, avec des dizaines de questions sans réponse.

Les fabricants devraient-ils être responsables de la sécurité des produits qu'ils vendent? Si oui, dans quelle mesure?

ikettle-photo

Doit-on raisonnablement s'attendre à ce qu'une entreprise prenne en charge un produit IoT ou Smart Home? Si oui, combien de temps?

Que se passe-t-il si le fabricant échoue? De nombreuses startups se sont engagées à publier leur code sous le domaine public, en cas d'échec. Les fabricants de maisons intelligentes devraient-ils être obligés de faire de même?

Les consommateurs peuvent-ils faire quelque chose pour garantir la sécurité de leur matériel? Si oui, quoi?

Ces questions recevront une réponse à temps. Mais jusqu'à ce qu'ils le soient, je soupçonne que la majorité des consommateurs seront réticents à embrasser le monde de l'Internet des objets.

Mais qu'est ce que tu penses? Laissez-moi un commentaire ci-dessous, et nous discuterons.

Matthew Hughes est un développeur de logiciels et écrivain de Liverpool, en Angleterre. Il est rarement trouvé sans une tasse de café noir fort dans sa main et adore absolument son Macbook Pro et son appareil photo. Vous pouvez lire son blog sur http://www.matthewhughes.co.uk et suivez-le sur twitter à @matthewhughes.