Des foyers intelligents non protégés contre les attaques de pirates informatiques

Une cyber attaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques.Si vous lisez régulièrement les nouvelles sur la sécurité, vous ne serez pas surpris d'apprendre que les systèmes de maison intelligente sont souvent mal configurés et exposent les maisons dans lesquelles ils sont installés à de nombreuses failles de sécurité.Le hacking peut s'apparenter au piratage informatique. Dans ce cas, c'est une pratique visant à un échange « discret » d'informations illégales ou personnelles. L'intelligence artificielle est plus qu'une technologie de rupture, c'est un ensemble de techniques (machine learning, deep learning, computer vision, natural language processing...) qui entrent dans nos vies quotidiennes et dont l'impact sur tous les secteurs de l'économie ne va faire que croître.Une cyberattaque est un acte malveillant envers un dispositif informatique via un réseau.

Cybercriminalité: c'est quoi?

Une brève explication : les maisons intelligentes sont exactement ce que vous imaginez déjà : Tout comme les téléphones intelligents, les téléviseurs intelligents, les voitures intelligentes, etc., les maisons intelligentes contiennent des appareils, des systèmes de chauffage, de climatisation, d'éclairage, des détecteurs de fumée et/ou des serrures de porte, tous connectés au réseau domestique et, par son intermédiaire, à l'internet. Et, bien sûr, il y a aussi des ordinateurs, des téléphones portables, des tablettes et tous les autres appareils traditionnels compatibles avec Internet dans ce réseau. Avec de tels systèmes, les habitants peuvent surveiller et contrôler leur maison.

Les chercheurs ont toujours fait des trous dans les systèmes de sécurité intelligents ainsi que dans les serrures de porte et les détecteurs de fumée connectés à Internet (et dans tous les autres dispositifs ayant une connexion Internet). Tout récemment, le laboratoire de test indépendant AV-Test.org a testé la sécurité de sept kits de maison intelligente et a constaté que quatre d'entre eux étaient dangereux.

Les sept systèmes testés ne représentent bien sûr qu'une petite partie des systèmes disponibles et ne sont probablement pas statistiquement représentatifs. Néanmoins, les systèmes testés ici comme vulnérables pourraient être attaqués par des attaquants internes et dans certains cas externes, visant soit le réseau domestique et donc les machines connectées, soit la maison elle-même et les choses qu'elle contient.

AV-Test a testé les systèmes suivants : iConnect de eSaver, tapHome de EUROiSTYLE, Gigaset Elements, iComfort de REV Ritter, RWE Smart Home, QIVICON de Deutsche Telekom et XAVAX MAX ! de Hama. Selon AV-Test, les systèmes de Gigaset, RWE et QIVICON sont les mieux protégés contre les attaques de pirates et les accès non autorisés. Les systèmes iComfort et tapHome contenaient des failles de sécurité exploitables localement, dont un agresseur doit être présent dans la maison pour pouvoir en abuser. Plus graves sont les failles de sécurité dans iComfort et XAVAX MAX ! ces systèmes peuvent être piratés à distance (et bien sûr localement).

Chacun des produits testés offre des fonctions différentes. En général, ils contrôlent l'électricité, le chauffage et la sécurité de la maison. Ils proposent des modules de surveillance pour les fenêtres, les portes et les pièces, des systèmes de contrôle pour les prises commutables, et des systèmes de commutation pour la lumière, le chauffage et l'électricité.

Comment se manifeste l'attaque des agresseur d'informatique?

En général, un agresseur peut abuser des systèmes pour les endommager, par exemple en coupant le chauffage en hiver pour que les tuyaux gèlent et se cassent. 

Les attaques les plus courantes exploitent les vulnérabilités des systèmes de la maison intelligente pour voler des données précieuses sur le réseau domestique.

Cependant, la plupart des pirates informatiques criminels sont à la recherche d'argent. Par conséquent, les attaques les plus probables sur ces systèmes de maison intelligente sont celles qui exploitent les failles de sécurité pour accéder au réseau domestique et voler des données précieuses. Il est également possible que des dispositifs non sécurisés soient utilisés à mauvais escient pour surveiller ou espionner une cible de cambriolage potentiellement bonne. Un attaquant habile pourrait même déverrouiller les portes et ainsi faciliter une effraction. AV-Test note également que le potentiel de diffusion de logiciels de rançon extorqués par les différents appareils connectés pourrait également être très tentant pour un attaquant. Par conséquent, si toute la maison cesse de fonctionner, la victime n'aura guère d'autre choix que de payer la rançon.

AV-Test s'est attaché à déterminer si la communication entre les appareils est cryptée, si les systèmes nécessitent une authentification active par défaut (mots de passe pour l'accès depuis le web ou l'accès physique direct), et s'ils sont vulnérables aux attaques à distance.

La communication est toujours cryptée sur les appareils Gigaset, RWE et QIVICON et AV-Test la juge sûre. iConnect crypte également la communication, mais AV-Test note que le cryptage peut être facilement contourné. Les autres produits de l'étude - iComfort, tapHome et XAVAX MAX ! n'utilisent pas de cryptage.

Cette absence de cryptage permet d'intercepter facilement l'ensemble des communications de la maison intelligente. Un agresseur pourrait surveiller la communication entre les appareils, forger des codes pour les contrôler ou simplement observer les appareils pour déterminer si quelqu'un est dans la maison ou non.

En outre, le système iComfort ne nécessite même pas d'authentification, de sorte qu'un attaquant pourrait lancer à distance une attaque basée sur le web sur le système. iConnect et XAVAX MAX ! nécessitent au moins une connexion pour l'accès à partir de l'internet, mais pas pour l'accès local. tapHome nécessite une authentification interne, mais comme le note l'étude, cette mesure n'est pas très utile en raison du manque de cryptage. Les Gigaset Elements, RWE Smart Home et QIVICON nécessitent tous une authentification pour l'accès physique, ainsi que pour l'accès à partir d'Internet (en outre, la communication de ces systèmes est cryptée).

La bonne nouvelle, c'est qu'AV-Test est convaincu qu'il est possible de développer des systèmes de maison intelligente sécurisée si les fabricants prennent le temps de créer un concept de sécurité solide au lieu de lancer des produits sur le marché le plus rapidement possible. Autre bonne nouvelle : AV-Test vous indique exactement ce à quoi vous devez faire attention lorsque vous achetez un système de maison intelligente : Des systèmes qui nécessitent toujours une authentification et dont la communication est entièrement cryptée.