Logo Spiria

Objets connectés à la poubelle : attention !

30 janvier 2019.

Controlling light with application.

© iStock.

Ces objets ont peu à peu investi nos maisons et il arrive que l’on s’en sépare, après une panne ou pour le remplacer par un équivalent plus moderne et performant. Mais mettre à la poubelle (ou au recyclage quand on a une conscience écologique) un objet connecté, tel qu’une ampoule ou une caméra, représente des dangers auxquels on ne pense pas. Car, même sans électricité et sans connexion au Net, ces gadgets hébergent des informations importantes comme le mot de passe de votre réseau Wi-Fi. Et comme ces objets sont trop souvent développés sans grand souci de la sécurité, ces données sont généralement non chiffrées (cri d’effroi).

À titre d’exemple, Limited Results a décortiqué une ampoule « intelligente », la LIFX Mini White, qui est vendue par Best Buy, Amazon, Apple Store, etc., pour 20-25 USD. L’auteur a découvert, entre autres vulnérabilités, que le mot de passe était stocké en clair dans la mémoire flash. Le pire, c’est que le SoC employé, un ESP32, permet de chiffrer les données de la mémoire flash. C’est donc juste les concepteurs de l’objet qui sont tout à fait insouciants. « Sérieusement, 90 pour cent des dispositifs IoT sont développés sans penser à la sécurité. C’est juste un désastre, » a écrit Limited Results dans un courriel à TechCrunch. « Dans mes recherches, j’ai ciblé quatre appareils différents : LIFX, Xiaomi, Tuya et Wiz (pas encore publiée, personnes très désagréables). Mêmes gadgets, mêmes vulnérabilités, et même parfois exactement le même code dedans. » Le journaliste de TechCrunch suggère de mettre ce style d’appareils sur un sous-réseau isolé ou réseau-invités. Un commentateur ajoute : « Le moyen le plus sûr de ne pas avoir de problèmes avec les gadgets IoT, c’est de les laisser au magasin. »

Limited Results, “Pwn the LIFX Mini white.”

TechCrunch, “Cheap Internet of Things gadgets betray you even after you toss them in the trash.”