SmartThings doit faire face aux critiques de chercheurs en sécurité : son système de permissions est trop vaste pour les applications, laissant la porte ouverture à des attaques. Ce spécialiste de la domotique, racheté par Samsung il y aura bientôt deux ans, assure pourtant que le scénario est très improbable.

SmartThings a été rachetée par Samsung en août 2014. Spécialisée en maison connectée, cette entreprise affronte ces derniers temps une crise d’adolescence qui se traduit notamment par un certain nombre de critiques quant à la qualité des solutions proposées. Le PDG de l’entreprise, Alex Hawkinson, avait d’ailleurs déclaré il y a environ deux semaines à Cnet que la résolution de ces soucis était une priorité.

Quelques jours après, on apprenait que SmartThings avait débauché le directeur de l’ingénierie d’Amazon, Robert Parker. Il était en place depuis cinq ans à son poste et gérant l’ensemble de l’innovation technique chez le géant de la vente en ligne. Sa nouvelle mission sera de mieux concrétiser la vision de SmartThings, à savoir connecter entre eux des équipements qui n’ont pas forcément été conçus pour le faire.

Des applications aux droits trop importants

Et c’est bien là le problème. SmartThings propose une boutique contenant environ 500 applications destinées à piloter divers aspects domotiques. L’un des exemples les plus classiques est la serrure intelligente, qui peut notamment comprendre que vous arrivez et prépare votre accueil en déverrouillant la porte d’entrée. Mais ce système global est aujourd’hui critiqué par un groupe de chercheurs de l’université du Michigan.

Dans un document présentant leurs découvertes, ils pointent du doigt plusieurs carences en sécurité. Ces applications peuvent surtout se voir comme un ensemble de routines, nommées SmartApps, que l’on active et utilise pour créer des liens avec des équipements. Or, pour les chercheurs, il y a de sérieux problèmes avec les droits donnés par l’utilisateur à beaucoup d’entre elles. Des droits dont elles n’ont pas spécifiquement besoin pour fonctionner.

Les chercheurs mettent particulièrement en évidence des liens et des regroupements qui ne devraient pas exister. Les fonctions d’ouverture et de fermeture sont par exemple intrinsèquement liées. Des pirates peuvent donc, selon les chercheurs, exploiter l’une ou l’autre s’ils réussissent à rassembler certaines conditions. Ce problème de permissions se retrouve aussi dans l’accès au matériel. Quand l’application principale est installée, elle demande à l’utilisateur s’il veut trouver tous les appareils compatibles sur son réseau. Ces droits d’accès peuvent être globaux, permettant à des applications d’accéder à des appareils pour lesquels elles ne sont pas prévues.

Des malwares faciles à créer selon les chercheurs

Pour montrer à quel point l’ensemble peut être fragile, les chercheurs ont mis au point un malware déguisé sous forme d’application se proposant de rendre un service assez utile : indiquer les niveaux de batterie de tous les appareils détectés. Si l’utilisateur accepte, le malware obtient alors le droit d’effectuer certaines actions, dont l’ouverture des serrures connectées. Sur les 499 applications proposées, 210 (42 %) sont susceptibles d’être détournées de leur objectif premier selon les chercheurs (les questions figurent dans l’appendice C du rapport).

En se servant d’une autre faille accordant trop de privilèges à une application, ils ont pu également développer une porte dérobée dans un autre téléchargement, via un problème de gestion des jetons OAuth. Qu’il s’agisse de cette variante ou de la précédente, une attaque demandera dans tous les cas une action de la part de l’utilisateur. Ce qui n’a rien d’un problème pour les chercheurs : il suffit simplement que l’action ait l’air de rendre service et paraisse tout à fait authentique. Ils ont d’ailleurs interrogé 22 utilisateurs des solutions SmartThings, 20 d’entre eux ayant répondu qu’ils laisseraient une application gérant la batterie demander l’autorisation d’accès à une serrure.

Un problème « éducatif » dans la mesure où de nombreux utilisateurs n’ont pas les connaissances nécessaires pour apprécier pleinement la dangerosité d’une situation. Et pourquoi le feraient-ils ? La plupart des produits liés à l’informatique sont travaillés pour les rendre simples d’accès et donc utilisables par le premier venu. Une intention parfaitement louable – la simplicité est une composante de l’efficacité – mais qui endort la méfiance. Or, en matière de domotique et de maison connectée, il faut clairement faire attention.

Une documentation mise à jour pour mieux guider les développeurs

Pour SmartThings cependant, la situation n’a rien de catastrophique. Dans une réponse donnée à The Verge, l’entreprise indique ainsi : « Les vulnérabilités potentielles du rapport reposent essentiellement sur deux scénarios : l’installation d’une SmartApp malveillante ou l’échec de développeurs tiers à suivre les lignes de conduite de SmartThings sur la manière de garder le code sécurisé ».

Cela étant, l’entreprise n’est pas restée non plus les bras croisés : « À la suite de ce rapport, nous avons mis à jour notre documentation pour fournir aux développeurs des guides de sécurité encore meilleurs ». Le signe indubitable qu’il y avait donc de la place pour des améliorations. SmartThings indique cependant qu’aucune SmartApp ne peut se retrouver proposée sans avoir subi toute une batterie de tests de sécurité (réponse de l’entreprise en appendice D).

Des technologies encore jeunes

Les chercheurs indiquent que le concept même de maison connectée n’en est globalement qu’à ses débuts et que les clients actuels font un peu figure de « testeurs ». Il existe aussi bien selon des problèmes d’éducation auprès des utilisateurs que de sécurité plus profonde dans le framework général, c’est-à-dire l’infrastructure qui permet aux objets de se reconnaître et de communiquer. « Les risques sont significatifs, et il est peu probable qu’ils soient réglés par de simples correctifs de sécurité ».

Quoi qu’il en soit, les chercheurs indiquent en fin de rapport que toutes les failles et l’ensemble des autres problèmes ont été communiqués à SmartThings en décembre dernier. Il leur a été répondu un mois plus tard que la situation serait examinée de près, le souci des jetons OAuth devant normalement avoir été réglé courant avril.