Aqara : dix vulnérabilités CVE exposaient serrures, caméras et capteurs connectés
Le loup dans la bergerie
Illustration : Flock
Le 15 juin à 12h32
Aqara, fabricant d’appareils connectés populaires dans l’univers HomeKit, a récemment corrigé la bagatelle de 26 défaillances de sécurité détectées principalement au niveau de la plateforme cloud qui sous-tend ses services. Dix des failles découvertes ont donné lieu à publication d’une CVE. L’exploitation combinée des quatre premières aboutit à une vulnérabilité notée 10, le niveau maximal de sévérité.
Aqara : dix vulnérabilités CVE exposaient serrures, caméras et capteurs connectés
Le loup dans la bergerie
Illustration : Flock
Aqara, fabricant d’appareils connectés populaires dans l’univers HomeKit, a récemment corrigé la bagatelle de 26 défaillances de sécurité détectées principalement au niveau de la plateforme cloud qui sous-tend ses services. Dix des failles découvertes ont donné lieu à publication d’une CVE. L’exploitation combinée des quatre premières aboutit à une vulnérabilité notée 10, le niveau maximal de sévérité.
Sécurité
Sécurité
5 min
Une recherche indépendante, publiée le 11 juin dernier, vient de mettre en lumière un vaste ensemble de vulnérabilités affectant les produits de la marque Aqara. Ce fabricant chinois commercialise pour mémoire une large gamme de capteurs de température, caméras IP, ampoules pilotées, thermostats et autres serrures ou verrous connectés. La bonne intégration de ses produits dans Apple Maison (HomeKit) les rend particulièrement populaires chez les amateurs de domotique.
La plateforme cloud qui sous-tend leur fonctionnement présentait toutefois quelques sérieuses failles en matière de sécurité. L’exploitation combinée de plusieurs d’entre elles créait ainsi une voie pour usurper n’importe quel compte enregistré sur la plateforme Aqara, et donc potentiellement de forger un accès à l’ensemble de l’écosystème domotique d’un utilisateur.
Dix CVE et de nombreux problèmes de configuration
L’une de ces failles a reçu la note maximale de 10.0 dans la base de Common Vulnerabilities and Exposures (CVE) officielle – une sévérité qui reflète son rôle dans la chaîne plutôt que son impact pris isolément, le chercheur lui ayant lui-même attribué 7.5. « La passerelle Aqara IAM/SSO (gw-builder.aqara.com) expose des échanges AES bidirectionnels contre la clé de signature de la plateforme sans authentification », indique la notice associée.
Derrière ce scénario du pire (dont aucune mise en œuvre malveillante n’a été attestée) se cache en réalité un catalogue de failles et de lacunes de sécurité bien plus vastes, comme le présente sur GitHub l’auteur de ces découvertes, le Français Sammy Azdoufal. Ses travaux, confirmés par Tod Beardsley de runZero, ont donné lieu à la publication de dix CVE individuelles, dont quatre sont qualifiées de critiques (note supérieure à 9).
« L’audit a révélé dix vulnérabilités côté produit suffisamment graves pour justifier l’attribution de CVE, ainsi que onze problèmes côté opérateur affectant l’infrastructure d’Aqara (son CRM, ses plateformes CI/opérations internes, sa passerelle IAM, son forum et son GitHub). Les quatre premières CVE sont liées entre elles. Aucune d’entre elles n’atteint individuellement le niveau 10.0. C’est leur enchaînement qui aboutit à ce niveau », décrit Sammy Azdoufal.
Il a découvert ces failles en étudiant l’application mobile dédiée à ses utilisateurs, ce qui lui avait déjà permis de découvrir plus d’un million de babyphones espion basés sur le cloud Meari, et près d’un million de pièces d’identité exposées sur Internet par le fournisseur d’un outil de CRM dédié aux coffee shops et autres cannabis clubs sociaux.
Sammy Azdoufal indique avoir listé et informé Aqara d’un total de 27 défaillances. Le fabricant aurait reconnu et corrigé 26 d’entre elles, laissant de côté l’allusion à un forum Discourse dont les messages et les comptes utilisateurs étaient accessibles sans authentification préalable. « L’un des éléments signalés comme corrigés est un problème structurel (CVE-2026-50091, clés cryptographiques codées en dur intégrées au SDK mobile et au firmware déployé) pour lequel un correctif côté serveur n’est pas architecturalement suffisant », estime de son côté l’auteur de la découverte.
La marque minimise l’impact
Il relate par ailleurs la chronologie de ses échanges avec Aqara, de la première prise de contact, en mars, à la déclaration publique transmise le 11 juin, date de la publication de ses découvertes. Dans cette dernière, telle que reproduite par Sammy Azdoufal, l’entreprise affirme que « la possibilité potentielle de contrôler les appareils des utilisateurs se rapporte à un environnement de test totalement distinct des systèmes de production d’Aqara », et que l’accès « à de véritables appareils ou comptes utilisateurs via l’environnement de test est impossible dans notre architecture, car les environnements ne partagent aucune donnée utilisateur, identifiant ni service backend ».
Des affirmations que réfute le chercheur indépendant. « Le point d’accès de récupération des jetons (famille CVE-2026-50083) a renvoyé 2 969 sessions actives, dont les sessions JWT actives de deux employés d’Aqara. Les environnements de test ne contiennent pas les sessions de travail actives des employés réels », fait-il par exemple valoir.
Nous avons contacté Aqara pour essayer de tirer au clair ces contradictions. En attendant, les utilisateurs de l’application du même nom ont sans doute tout intérêt à révoquer les autorisations tierces qu’ils n’auraient pas eux-mêmes accordées dans les paramètres de leur compte. Ainsi qu’à privilégier les options de contrôle local, notamment via HomeKit, plutôt que de piloter leurs appareils par l’intermédiaire d’un cloud opéré par le fabricant. Un conseil qui vaut sans doute d’ailleurs bien au-delà du cas particulier d’Aqara…
Commentaires (23)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 15 juin à 13h01
Mais non.
Le 15 juin à 13h11
Le 15 juin à 13h27
Le 16 juin à 21h02
Mieux, en IPv6, avec les adresses ULA tu peux avoir un trafic local parfaitement séparé du trafic global, sans avoir besoin de configurer des VLAN (Configurer ces derniers sous windows est une plaie).
Bref, IPv4 ne sert plus à rien d'autre qu'à communiquer avec les vieux machins comme ma télé connectée de 14 ans d'age (elle n'a plus d'accès Internet depuis longtemps).
Le 15 juin à 14h03
Le 15 juin à 15h29
Le 15 juin à 14h28
Le 15 juin à 14h52
Le 15 juin à 16h13
Mais pour le VPN, je serais moins affirmatif car sa compromission donnera un accès direct à son LAN entier tandis qu'exposer typiquement un webUI HTTPS (OK, faut se fader Let's Encrypt et des mesures actives contre les insistants type fail2ban) avec des accès robuste (voir double auth) exigera, si compromis, un peu de travail/compétence derrière pour en arriver à ce que le VPN offre directement.
Et d'expérience, le HTTPS est incomparablement moins ciblé que le SSH, au hasard. Rare d'avoir des trucs qui dépassent le simple accès à la page de login dans les logs, avec généralement un whois qui évoque un robot d'indexation de moteur de recherche. Et j'ai 10 ans de recul là dessus.
A tel point qu'en cas de besoin d'accès à un shell à distance (j'ai longtemps utilise knockd, mais ils avaient oublié IPv6!) sur la machine qui héberge la domotique (et permettra de rebondir sur tout le LAN au besoin), c'est désormais un switch virtuel sur le webUI de la domotique qui ouvre SSH via le FW pour 1mn, laissant le temps d'établir une connexion.
Le 15 juin à 16h59
Le 15 juin à 17h29
Le 15 juin à 21h50
Bref, tout ça pour dire : non, il n'y a pas que ssh qui concentre les attaque ; on s'en prend aussi énormément en http & https.
Et en ssh, l'immense majorité cherche à cracker des mots de passe. Si tu n'autorises que l'authentification par clefs publiques, ça coupe tout ça directement.
Le 16 juin à 08h09
Le truc drôle avec ssh c'est qu'on eu pu lancer le serveur (ca ne semble plus être le cas, je retrouve plus l'option dans le man sshd en tout cas ; il faudrait sans doute le modifier et rebuilder désormais) avec des options de débogage dont il était spécifié qu'il ne fallait pas les utiliser en production car compromettant la confidentialité... vu que cela loggait la totalité du login en clair: Amusant pour voir les combo user/pass utilisés par les robots de bruteforce.
Le 16 juin à 08h21
Le 16 juin à 10h27
https://korben.info/endlessh-script-kiddies-trap.html
Le 16 juin à 21h09
Pour https, les logs peuvent être tronqués car cela dépend de ta manière de gérer les accès sans domaine (juste l'IP), ce qui est le cas le plus courant avec les scans.
Le 15 juin à 16h24
Le 15 juin à 19h39
Le 15 juin à 16h45
Le 15 juin à 17h30
Le 16 juin à 08h39
Modifié le 17 juin à 19h16
Quirk: zhaquirks.xiaomi.aqara.cube_aqgl01.CubeAQGL01
Modifié le 16 juin à 22h32
Avec de la chance, les tips arrondiront les fins de mois
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?