Deux chercheurs ont verrouillé un thermostat connecté avec un ransomware
Le futur, c'était mieux avant
Le 08 août 2016 à 13h00
4 min
Société numérique
Société
Deux chercheurs en sécurité ont montré samedi durant la Def Con qu’il était possible d’introduire un ransomware dans un thermostat connecté, aboutissant au verrouillage de ce dernier. Il ne s’agit donc pas d’une menace réelle, mais d’une preuve que certaines craintes autour des objets connectés sont fondées.
Depuis plusieurs années, de nombreux experts en sécurité mettent en garde contre les dangers inhérents aux objets connectés. De nombreuses fonctionnalités reliées à Internet ont été mises en place pour simplifier la vie des utilisateurs autant que l’interconnexion avec d’autres produits et services. Mais dans bon nombre de cas, ces capacités ne sont pas assez sécurisées : des accès administrateurs sont laissés en place, des mots de passe faibles par défaut sont utilisés, et ainsi de suite.
Un bitcoin pour retrouver la bonne température
Sans forcément parler d’une future « apocalypse » des objets connectés, il est à craindre des séries d’attaques qui se prolongeront pendant plusieurs années, le temps que le marché prenne la mesure des risques encourus. C’est ce que deux chercheurs, Andrew Tierney et Ken Munro, ont souhaité démontrer samedi durant la Def Con. Ils ont pour cela piraté un thermostat connecté.
Travaillant tous deux pour la société de sécurité Pen Test Partners, ils ont montré comment ils s’étaient introduit dans le produit pour y injecter un ransomware. Il ne s’agissait bien entendu pas d’un « vrai » malware, mais il devait prouver qu’il était possible de verrouiller le produit et de réclamer une rançon pour en retrouver les fonctionnalités.
Pas de contrôle sur le type de fichier lu
Comme indiqué à Motherboard, ils ont profité d’un bug dans la gestion des fichiers. Le thermostat, disposant d’un grand écran LCD et fonctionnant sous Linux, accepte en effet les cartes SD pour pouvoir personnaliser par exemple le fond d’écran. Malheureusement, l’appareil ne prête pas une grande attention aux fichiers qui sont stockés et ne mène pas certains contrôles de sécurité. Ils ont donc caché leur malware dans une application présentée sous forme d’image, que le thermostat lit alors puis exécute.
Le résultat, on le connait : le malware prend le contrôle du thermostat, affichant un message à l’utilisateur. Ce dernier se voit réclamer un bitcoin (environ 540 euros actuellement) pour retrouver l’accès à son appareil connecté. L’attaque n’est pas distante et requiert l’utilisation d’une carte SD, mais il n’est pas complexe de mettre en place des sites malveillants donnant accès à des fichiers vérolés. L'utilisateur télécharge ce qu'il pense être un fond d'écran, le copie sur sa carte SD et insère cette dernière dans le thermostat. Celui-ci se retrouve alors piègé par un ransomware. Le cas est particulièrement courant avec Android, et on l’a encore vu récemment avec des fichiers APK de Pokemon Go, modifiés pour intégrer des malwares.
Comment gérer de pareils cas ?
Pour les chercheurs, l’objectif était surtout de tirer la sonnette d’alarme. « Nous n’avons aucun contrôle sur nos appareils, et nous ne savons pas vraiment ce qu’ils font, ni comment ils le font » indique Andrew Tierney, avant d’exposer le fond du problème : « S’ils commencent à faire quelque chose que vous ne comprenez pas, vous n’avez pas vraiment de moyen de le gérer ».
Tierney et Munro n’ont pas souhaité préciser le modèle exact du thermostat. Ils ont indiqué à Motherboard qu’ils n’avaient pas pu encore joindre le constructeur pour le prévenir de cette faille, d’autant que le correctif serait simple à développer et à diffuser. Mais ils rappellent dans tous les cas que tout objet connecté installé dans un domicile est un nouveau point d’entrée dans le réseau Wi-Fi de la maison.
Il ne s'agit là que d'un des nombreux vecteurs d'attaque qui peuvent cibler les objets connectés. Dans d'autres cas, ce sont les transmissions qui manquent de sécurité (parfois même d'une couche de chiffrement), quand ce n'est pas une panne des serveurs qui empêche de les utiliser correctement. Les exemples ont tendance à se multiplier et il serait bon que les constructeurs réagissent rapidement.
Deux chercheurs ont verrouillé un thermostat connecté avec un ransomware
-
Un bitcoin pour retrouver la bonne température
-
Pas de contrôle sur le type de fichier lu
-
Comment gérer de pareils cas ?
Commentaires (72)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 08/08/2016 à 13h02
” Il ne s’agit donc pas d’une menace réelle” ?!
Si je lis l’article, je comprend que c’est au contraire une réelle menace!
Le 08/08/2016 à 13h07
A ce sujet, lire aussi le très intéressant interview de Bruce Schneier (spécialiste de la sécurité informatique, qui bosse chez Tor notamment), chez Framasoft :
Bientôt l’Internet des objets risqués ?
Le 08/08/2016 à 13h11
Il est encore temps pour les différents acteurs de se rendre compte que ce IoT est un paris aussi ridicule et voué à l’échec que les montres connectées…
Le 08/08/2016 à 13h11
Il va falloir faire un sacré tri dans les objets connectés, notamment pour les obsessionnels de la connexion. À savoir qu’est-ce qui doit être connecté (par exemple effectivement les thermostats dans certains cas et encore pas toujours) et ce qui peut ne pas l’être (genre réfrigérateur, lave-linge ou pèse-personne).
Le 08/08/2016 à 13h11
Les exemples ont tendance à se multiplier et il serait bon que les constructeurs réagissent rapidement.
Les constructeurs fournissent ce que les vendeurs (et acheteurs) réclament: des bidules connectables au réseau (IoT).
La sécurité ça a un coup et il ne faut pas s’attendre à ce que les constructeurs augmentent les prix (ou diminuent leurs marges) pour quelque chose qui n’est pas demandé (ou obligatoire).
Y a pas de label homologué, de technologie reconnue ou de notation standard sur le degré de sécurité. Donc c’est quasi impossible pour l’acheteur de savoir les risques qu’il prend sur ce qu’il achète.
Le 08/08/2016 à 13h13
Le 08/08/2016 à 13h14
Sympa tous ces objets connectés. La sécurité est loin , très loin d’être prise au sérieux aujourd’hui. Il n’y aura a mon avis qu’une réelle prise de conscience lors d’un blackout ou d’une prise de contrôle à très grande échelle d’installation privées avec des implications directes sur les gens.
" />
Rien qu’avec des petites installations (type chauffage) qui sont maintenant capables de détecter la présence, on a un vrai mouchard qui peut prévenir de l’absence, prolongée ou pas, dans une maison ou un appart. On imagine un kit tout en un vendu pas cher et on simplifie encore la tâche des cambrioleurs
Le 08/08/2016 à 13h15
Raison de plus pour pas acheter leurs bidules cher. :)
Le 08/08/2016 à 13h19
Le 08/08/2016 à 13h26
Ah merde, je suis démasqué.
" />
" />
" />
C’est vrai que ça serait trop cool que je puisse contrôler mon frigo à distance.
Et que quelqu’un puisse contrôler mon frigo à distance.
Le 08/08/2016 à 14h25
Je vais tranquillement attendre la V10. Ça sera moins cher en prime.
Le 08/08/2016 à 14h29
Il est connu qu’un congélo a un cœur froid
Le 08/08/2016 à 14h33
Mouais…. c’est quand même le genre de hack sans importance si on venait à hacker mon netatmo je le renvoie à mon revendeur ou à la marque pour qu’ils me le change et en attendant je met la chaudière en mode forcée !!!
C’est pour ça que j’ai un thermostat connecté et que jamais je ne prendrais de chaudière connectée !
Le 08/08/2016 à 14h33
Et même qu’il est complètement givré.
Le 08/08/2016 à 14h40
BBQed et de loin
" />
Le 08/08/2016 à 14h42
Le 08/08/2016 à 14h43
Le 08/08/2016 à 14h44
Tu lui ajoute une caméra pour reconnaitre les produits,
" />
comme ça le frigo a le beurre, l’argent du beurre et le cul de la crémière.
Le 08/08/2016 à 14h48
Après le congelo tueur de bébé, le congélo pervers qui se tape le cul de la crémière…
" />
Je vais regarder mon congélateur du même œil ce soir
Le 08/08/2016 à 14h51
Vraiment pas convaincu par leur démo, s’ils ont dû accéder physiquement à l’appareil ça n’a aucun intérêt.
Si on passe par le net avec son ordi pour récupérer un tel fichier vérolé je pense qu’un antivirus correct sera capable de voir que le fichier image n’en est pas un et contient un code malicieux.
Le 08/08/2016 à 15h02
Cool, bientot Norton AV Fridge Edition ! Avec une promo sur la version pour pacemaker ?
J’imagine le malware pour pacemaker du syndicat des cardiologues : On accélère les mesures de 1bpm tous les mois, et au bout de 2 ans, tu te retrouves à l’hosto pour un reset de l’appareil, après paiement de salaire (+ 1 bitcoin) pour le cardiologue.
Le 08/08/2016 à 15h06
Si tu habites en Corée du Sud et que tu t’appelles Véronique, oui.
" />
Le 08/08/2016 à 15h08
J’avoue…
" />
Le 08/08/2016 à 15h20
Alors que si tu habites en Corée du Nord, un bébé dans un congélo, ça fait des envieux, pas un scandale.
Le 08/08/2016 à 15h29
Le 08/08/2016 à 15h31
Imaginons un instant que ce genre de thermostat connecté se généralise, et qu’un (groupe de) hacker(s) arrive à prendre le contrôle d’un grand nombre d’entre-eux, mais de manière silencieuse…
" />
" /> (un DDoS énergétique 
" />)
Qu’est-ce qui l’empêcherait, un beau jour, de faire tomber le réseau électrique d’un pays entier en les mettant tous marche (à fond) simultanément ?
Le 08/08/2016 à 15h41
Tout ça pour faire passer un message sur la surconsomation et la dépendance énergétique, saleté de terroristes écolo!
Le 08/08/2016 à 16h01
HS, mais j’étais à Las Vegas ce week-end (oui jme la raconte un peu au passage), et je peux vous dire que les mecs qui assistaient à la Def Con on les reconnaissait à 12 kilomètres avec leurs T-shirts et leurs tronches de geeks (sans même parler du badge clignotant en forme de crâne)…
Le 08/08/2016 à 16h13
cet article démontre bien que, mal employée, la connectivité des appareils n’est forcément pour le bien être de l’utilisateur…
je passe outre le fait qu’on ne sais pas trop quelles données transitent ni ou elle vont (et encore moi ce qu’ils en font)….
Prenons par exemple les stations météos… suffit pour un voleur d’afficher la carte des températures pour avoir l’emplacement des stations connectés, donc de potentiels “clients” fortunés… suffit d’aller à proximité desdits stations (la wifi porte bien…) pour hacker (voire meme de tenter l’éternel password 1234 du compte utilisateur pour avoir l’historique des capteurs de la station) et utiliser les données des capteurs afin de s’assurer de la non présence des proprio et/ou définir la plage horaire ou ils pourront aller se servir en tout quiétude….
Bref l’usage simple des appareils connectés pouvant être en lui même détourné ou interprété à mauvais escient…. (lorsque je consulte ma station météo je sais grâce au capteur son l’activité de la maison, grâce au capteur T° lorsque la cheminé a été allumée (l’hiver…), ou détecter une présence humaine avec le niveau de CO² … certaines stations ont des capteurs d’ouverture de porte ou des caméras de surveillances… alors qu’une simple webcam peut être hacké je vous laisse en déduire l’utilisation de bidouilleurs en tout genre…)
Le 08/08/2016 à 16h26
T’as des dents au moins ?
" />
Le 08/08/2016 à 19h16
Lire avec des code-barres ce que tu sors de ton frigo pour le recommander.
Au contraire prévenir d’un rappel produit que tu as dans ton frigo.
Lire avec des sondes (température, poids, nombre d’ouverture) les conditions réelles d’utilisation de milliers de frigo pour optimiser leur conception.
Interragir avec ton fournisseur d’électricité pour produire “plus de froid” à prix cassé dans les heures creuses de la journée pour lisser la consommation d’énergie sur la journée.
Prévenir d’une rupture dans la chaîne du froid en cas d’absence prolongée.
Le 08/08/2016 à 20h26
Le 08/08/2016 à 20h55
Et sinon dans Mr. Robot je viens de croiser ça :
" />
" />
http://prntscr.com/c38i1h
Bien évidemment les mecs qui traduisent ont tout traduit…
#PenTest
Le 08/08/2016 à 21h37
Il y a déjà des machines à café connecté qui préviennent quand ça manque de capsules ou quand il faut détartrer…
Par contre clairement, ça voudra dire qu’on ne sait pas se servir d’une machine à café, vu que c’est elle qui nous dit quoi faire. En fait c’est bien le plus grand danger de l’IoT : une dépendance telle qu’on finira par devenir incapable de réaliser des tâches simples par nous-même. On sera “piloté” par notre maison connectée.
Le 09/08/2016 à 08h22
Le 09/08/2016 à 08h51
Pour moi, les objets connectés avec wifi et ouverts sur internet, c’est du gadget.
Je suis plutôt pour de la domotique relié par un protocole dédié (x10, lonworks), avec un serveur domotique en interne qui pilote (avec pourquoi pas un accès web sécurisé). C’est ce qui est utilisé dans les salles de cinéma par exemple.
Le 09/08/2016 à 08h59
Ouaip. Une carte SD, donc forcément formatée en VFAT, donc tous les fichiers sont exécutables… Ouaip, ouaip, ouaip… Je distribue 2 mauvais points : un à MS pour son système de fichiers VFAT tout pourri, un au concepteur pour ne pas avoir mis un “noexec” dans l’automount de la carte SD. Je rêve d’un univers parallèle où les fabricants diraient à MS “on ne veut pas de votre système de fichiers VFAT avec lequel vous nous rackettez des droits de brevet, on n’accepte les SD qu’en EXT4”. Et là, MS est obligé de développer un plugin EXT4 pour son explorateur. Oui, je sais, je rêve…
Le 09/08/2016 à 09h51
Le 09/08/2016 à 13h22
Pas étonnant, j’ai une lampe connectée en Bluetooth et l’appariement est automatique, il n’y aucune action à faire sur la lampe. Si mon voisin le décide, il pourrait très bien se connecter aussi.
Le 09/08/2016 à 20h55
Juste une question : il n’y a aucun reset matériel sur le thermostat piraté ???
Le 08/08/2016 à 13h58
Doucement, doucement, chaque chose en son temps, on aura ça pour la v2.0.
Le 08/08/2016 à 13h59
On est bien avancés du coup !
Le 08/08/2016 à 13h59
Le 08/08/2016 à 13h59
Le 08/08/2016 à 14h02
Comme les imprimantes Xerox ?
" />
Le 08/08/2016 à 14h02
Un autre truc intéressant, c’est si tu mets ton bébé dans le congélo, tu peux toujours dire au juge que ton frigo s’est fait hacké.
Le 08/08/2016 à 14h03
En fait, oui, le gros problème ne concerne pas les réfrigérateurs connectés à la noix, des pèse-personnes ou les cafetières mais possiblement et bien plus sérieusement tout l’appareillage lié à la santé. Et là, j’espère qu’il n’y a pas de soucis à se faire.
Le 08/08/2016 à 14h03
et Sharp, oui
" />
(avantage pour Xerox : on peut jouer à Doom dessus)
Le 08/08/2016 à 14h06
Faudrait que je test, on en a 4. 
" />
Le 08/08/2016 à 14h07
Faudra quand même prouver que c’est le congélateur qui est allé chercher le bébé pour se le fourguer dans le caisson. Ça risque d’être un poil délicat quand même vu que, pour l’instant, la mobilité n’est pas ce qui caractérise précisément un congélateur.
Maintenant, il est possible que je me trompe et que les congélateurs connectés marchent sur leurs petites pattes vu que je cultive soigneusement mon inculture en matière d’objets connectés.
Le 08/08/2016 à 14h10
en même temps, si il ne peut pas se déplacer, j’vois pas comment il pourrait aller faire les courses.
Le 08/08/2016 à 14h11
Doucement, doucement, chaque chose en son temps, on aura ça pour la v3.0.
Le 08/08/2016 à 14h14
Ne sous estime pas la fourberie d’un congélateur !
Le 08/08/2016 à 14h15
/SpoilON
" />
Ca me fait penser à l’épisode de Mr. Robot S02E01, quand la nana se fait hacker toute sa maison, après elle est sous la douche et pète un câble, elle finit par abandonner sa maison…
/SpoilOFF
Le 08/08/2016 à 14h17
Il re-commande lui-même sur Amazon Fresh ce qui a été consommé récemment en précisant comme heure de livraison celle de ton retour du boulot, qu’il obtiendra en demandant à ton GSM.
Le 08/08/2016 à 14h24
Le juge risque de faire pareil.
Moralité : éviter la combinaison bébé plus congélateur même connecté.
Le 08/08/2016 à 13h28
+1, il faut toujours que les pauvres se mettent en avant et se montrent comme les riches, ils valent pas mieux finalement
" />
Le 08/08/2016 à 13h29
Le 08/08/2016 à 13h30
Je suis la première à dire que le rapport prix et risque sur service rendu de la plupart des objets connectés est lamentable.
Après j’ai du mal avec ce genre de démo faite avec du matos et du soft non identifiés en attaque ciblée en local, qui n’est représentatif de rien du tout à mes yeux de noob. Je me dis que s’il faut c’est un machin noname codé n’importe comment avec des trous de sécurité de élémentaires, ce qui ne m’est d’aucune utilité pour appréhender le risque réel que je prendrais en achetant du matos correct fait par une boîte sérieuse.
Même les michu le savent qu’il faut faire gaffe avec les trucs connectés, ça passe sur Envoyé Spécial Capital et Cie avec chaque semaine des histoires de hackers russes à capuche qui piratent des webcams et Cie, je comprends pas bien ce que cette démo apporte de plus (vraie question)
Le 08/08/2016 à 13h31
540 euro pour refaire marcher le thermostat, autant en acheter un neuf
" />
mais oui, le suivit du logiciel de ce genre de matériel considéré “ livrés en l’état” sans possibilité de mise à jour, avec des OS complexes, ça va nous causer des ennuis dans les années à venir….
Le 08/08/2016 à 13h33
Mon frigo LG dispose d’un système de diagnostique qui communique par Internet 3G
" />
" />
Je ne sais pas ce qu’il bave aux serveurs de LG, ceci dit
Le 08/08/2016 à 13h35
Sans m’avancer plus que ça, je suppose que les chercheurs espèernt qu’à coup de PoC dans ce genre + les articles/reportages sur les vilains hackeurs Russes à capuche de Capital/Zone Interdite/Envoyé Spécial, les michus se mettront à gueuler assez fort pour que les industriels commencent à écouter.
" />
L’autre possibilité étant de se positionner en mode “Votre thermostat est possédé et vous parle en cyrillique ? Qui qu’c’est-y qu’on appelle ?” pour quand ça prendra une ampleur excrémentielle
Le 08/08/2016 à 13h36
Tu veux pas le savoir.
" />
Le 08/08/2016 à 13h41
Ca me fait penser à l’épisode de MR. Robot où toute la maison connectée de l’avocate est piratée, ç’en devient invivable
" />
Le 08/08/2016 à 13h42
Mais ton frigo, lui, arrive à poster un truc exploitable
" />
Le 08/08/2016 à 13h45
“Le camembert commence à couler. Par pitié, exfiltrez-moi !”
(mais en langage frigo, bien entendu).
Le 08/08/2016 à 13h45
1- chopper la liste des clients dudit constructeur
2- aller les voir et leur proposer une mise à jour gratuite et immediate de leur appareil IoT
3- mettre à jour l’appareil avec une faille se déclenchant dans deux semaines
4- attendre les BTC, OKLM
5- PROFIT
Le 08/08/2016 à 13h48
Le 08/08/2016 à 13h52
Le 08/08/2016 à 13h53
les pacemakers
" />
Le 08/08/2016 à 13h55
Plus besoin de l’ouvrir pour savoir s’il est plein ou vide !
Le 08/08/2016 à 13h57
Mais comme on a quand même besoin de l’ouvrir, le réfrigérateur, pour savoir ce qu’il faut acheter, ch’vois pas l’intérêt.