Des chercheurs en sécurité IoT d’ESET se sont penchés sur la sécurisation de différentes centrales domotiques (Fibaro, Homematic, Elkoep) et ils ont découvert qu’il était relativement facile d’en prendre le contrôle. Les constructeurs, prévenus, ont apporté les correctifs nécessaires … mais combien d’autres matériels de ce type restent ouverts et accessibles aux cyberattaquants ?

Probablement beaucoup, et certainement trop pour un marché qui grandit à grands pas avec l’arrivée de géants tels qu’Ikea qui a rejoint Philips, Osram, Xiaomi et bien d’autres.
Des listes de couples identifiant/mot de passe se trouvent facilement via un moteur de recherche, et s’appliquent aux caméras de surveillance, prises, ampoules, capteurs divers auxquels il est facile d’accéder via un navigateur internet ou un client telnet … Et les défauts de sécurisation ne concernent pas seulement les ‘petits produits chinois’ mais aussi les articles plus haut de gamme labellisés de grandes marques.

Gageons que ces constructeurs et les installateurs vont prendre conscience des risques qu’ils font courir à leurs clients, entreprises ou professionnels et qu’ils vont intégrer dans leurs processus de développement les indispensables étapes de sécurisation. Gageons également que ces fonctionnalités seront exigées par les acheteurs.
Mais qu’en sera-t-il pour les matériels et systèmes destinés au grand public ? Faudra-t-il accepter que les images puissent être interceptées, que les prises puissent être commutées, que la TV puisse être allumée par un voisin, facétieux dans le meilleur des cas ?

L’intégration de contrôle des accès et d’encryptage des flux ni compliquée ni coûteuse, et cela ne rend pas plus difficile la mise en œuvre. Si ces mécanismes ne sont pas systématiquement disponibles, c’est probablement parce qu’ils ne sont pas attendus et demandés par les consommateurs. La vraie difficulté est là : dans la prise de conscience de l’utilisateur lambda.

ESET donne tout le détail sur ces failles dans son article de blog « Serious flaws found in multiple smart home hubs: Is your device among them? »