Connexion Premium

Aqara : dix vulnérabilités CVE exposaient serrures, caméras et capteurs connectés

Le loup dans la bergerie

Aqara : dix vulnérabilités CVE exposaient serrures, caméras et capteurs connectés

Illustration : Flock

Aqara, fabricant d’appareils connectés populaires dans l’univers HomeKit, a récemment corrigé la bagatelle de 26 défaillances de sécurité détectées principalement au niveau de la plateforme cloud qui sous-tend ses services. Dix des failles découvertes ont donné lieu à publication d’une CVE. L’exploitation combinée des quatre premières aboutit à une vulnérabilité notée 10, le niveau maximal de sévérité.

Une recherche indépendante, publiée le 11 juin dernier, vient de mettre en lumière un vaste ensemble de vulnérabilités affectant les produits de la marque Aqara. Ce fabricant chinois commercialise pour mémoire une large gamme de capteurs de température, caméras IP, ampoules pilotées, thermostats et autres serrures ou verrous connectés. La bonne intégration de ses produits dans Apple Maison (HomeKit) les rend particulièrement populaires chez les amateurs de domotique.

La plateforme cloud qui sous-tend leur fonctionnement présentait toutefois quelques sérieuses failles en matière de sécurité. L’exploitation combinée de plusieurs d’entre elles créait ainsi une voie pour usurper n’importe quel compte enregistré sur la plateforme Aqara, et donc potentiellement de forger un accès à l’ensemble de l’écosystème domotique d’un utilisateur.

Dix CVE et de nombreux problèmes de configuration

L’une de ces failles a reçu la note maximale de 10.0 dans la base de Common Vulnerabilities and Exposures (CVE) officielle – une sévérité qui reflète son rôle dans la chaîne plutôt que son impact pris isolément, le chercheur lui ayant lui-même attribué 7.5. « La passerelle Aqara IAM/SSO (gw-builder.aqara.com) expose des échanges AES bidirectionnels contre la clé de signature de la plateforme sans authentification », indique la notice associée.

Derrière ce scénario du pire (dont aucune mise en œuvre malveillante n’a été attestée) se cache en réalité un catalogue de failles et de lacunes de sécurité bien plus vastes, comme le présente sur GitHub l’auteur de ces découvertes, le Français Sammy Azdoufal. Ses travaux, confirmés par Tod Beardsley de runZero, ont donné lieu à la publication de dix CVE individuelles, dont quatre sont qualifiées de critiques (note supérieure à 9).

« L’audit a révélé dix vulnérabilités côté produit suffisamment graves pour justifier l’attribution de CVE, ainsi que onze problèmes côté opérateur affectant l’infrastructure d’Aqara (son CRM, ses plateformes CI/opérations internes, sa passerelle IAM, son forum et son GitHub). Les quatre premières CVE sont liées entre elles. Aucune d’entre elles n’atteint individuellement le niveau 10.0. C’est leur enchaînement qui aboutit à ce niveau », décrit Sammy Azdoufal.

Il a découvert ces failles en étudiant l’application mobile dédiée à ses utilisateurs, ce qui lui avait déjà permis de découvrir plus d’un million de babyphones espion basés sur le cloud Meari, et près d’un million de pièces d’identité exposées sur Internet par le fournisseur d’un outil de CRM dédié aux coffee shops et autres cannabis clubs sociaux.

Sammy Azdoufal indique avoir listé et informé Aqara d’un total de 27 défaillances. Le fabricant aurait reconnu et corrigé 26 d’entre elles, laissant de côté l’allusion à un forum Discourse dont les messages et les comptes utilisateurs étaient accessibles sans authentification préalable. « L’un des éléments signalés comme corrigés est un problème structurel (CVE-2026-50091, clés cryptographiques codées en dur intégrées au SDK mobile et au firmware déployé) pour lequel un correctif côté serveur n’est pas architecturalement suffisant », estime de son côté l’auteur de la découverte.

La marque minimise l’impact

Il relate par ailleurs la chronologie de ses échanges avec Aqara, de la première prise de contact, en mars, à la déclaration publique transmise le 11 juin, date de la publication de ses découvertes. Dans cette dernière, telle que reproduite par Sammy Azdoufal, l’entreprise affirme que « la possibilité potentielle de contrôler les appareils des utilisateurs se rapporte à un environnement de test totalement distinct des systèmes de production d’Aqara », et que l’accès « à de véritables appareils ou comptes utilisateurs via l’environnement de test est impossible dans notre architecture, car les environnements ne partagent aucune donnée utilisateur, identifiant ni service backend ».

Des affirmations que réfute le chercheur indépendant. « Le point d’accès de récupération des jetons (famille CVE-2026-50083) a renvoyé 2 969 sessions actives, dont les sessions JWT actives de deux employés d’Aqara. Les environnements de test ne contiennent pas les sessions de travail actives des employés réels », fait-il par exemple valoir.

Nous avons contacté Aqara pour essayer de tirer au clair ces contradictions. En attendant, les utilisateurs de l’application du même nom ont sans doute tout intérêt à révoquer les autorisations tierces qu’ils n’auraient pas eux-mêmes accordées dans les paramètres de leur compte. Ainsi qu’à privilégier les options de contrôle local, notamment via HomeKit, plutôt que de piloter leurs appareils par l’intermédiaire d’un cloud opéré par le fabricant. Un conseil qui vaut sans doute d’ailleurs bien au-delà du cas particulier d’Aqara…

Commentaires (23)

votre avatar
Si encore ces objets étaient dans un VLAN, cloisonnés, sans passerelle, avec un accès local uniquement ( distant via VPN vers chez soi) soit exactement ce que j'ai fais chez moi, les vulnérabilités ne seraient pas si graves .....
Mais non.
votre avatar
C'est l'ancien monde, maintenant c'est full ipv6 sans parefeu et ni nat :byebye:
votre avatar
Bah on peut mettre en place "l'infra" que j'ai décrite, en IPV6 hein, c'est d'ailleurs le cas chez moi aussi , je suis en dual stack
votre avatar
Le NAT ne protège rien et l'IPv6 n'empêche en rien les pare-feux.

Mieux, en IPv6, avec les adresses ULA tu peux avoir un trafic local parfaitement séparé du trafic global, sans avoir besoin de configurer des VLAN (Configurer ces derniers sous windows est une plaie).

Bref, IPv4 ne sert plus à rien d'autre qu'à communiquer avec les vieux machins comme ma télé connectée de 14 ans d'age (elle n'a plus d'accès Internet depuis longtemps).
votre avatar
C’est bien pour ça que je n’aime pas la domotique Wifi…
votre avatar
Aqara est compatible ZigBee. Aucune exposition au Net.
votre avatar
J'espère que Tapo est un peu plus sérieux qu'Aqara. :/
votre avatar
C'est TP-Link derrière Tapo, on peut supposer qu'ils ont une forme de culture réseau plus développée, mais il subsiste un risque. En vrai, c'est Doctorrok en premier commentaire qui a raison, on ne devrait utiliser ces IoT qu'avec un contrôle local, en passant par un accès distant via VPN pour les fonctions à distance... on aura certainement l'occasion de reparler de tout ça !
votre avatar
Mouais, OK pour le contrôle local et idéalement une radio-mesh (zigbee, zwave) dédiée et moins gourmande en prime (autonomie de ce qui est sur pile) que du wifi.

Mais pour le VPN, je serais moins affirmatif car sa compromission donnera un accès direct à son LAN entier tandis qu'exposer typiquement un webUI HTTPS (OK, faut se fader Let's Encrypt et des mesures actives contre les insistants type fail2ban) avec des accès robuste (voir double auth) exigera, si compromis, un peu de travail/compétence derrière pour en arriver à ce que le VPN offre directement.

Et d'expérience, le HTTPS est incomparablement moins ciblé que le SSH, au hasard. Rare d'avoir des trucs qui dépassent le simple accès à la page de login dans les logs, avec généralement un whois qui évoque un robot d'indexation de moteur de recherche. Et j'ai 10 ans de recul là dessus.

A tel point qu'en cas de besoin d'accès à un shell à distance (j'ai longtemps utilise knockd, mais ils avaient oublié IPv6!) sur la machine qui héberge la domotique (et permettra de rebondir sur tout le LAN au besoin), c'est désormais un switch virtuel sur le webUI de la domotique qui ouvre SSH via le FW pour 1mn, laissant le temps d'établir une connexion.
votre avatar
J'ai pourtant mes logs https remplis de milliers de requêtes qui, visiblement, cherchent des failles wordpress (sur un site non wordpress, bien entendu). Et j'ai 25 ans de recul là dessus.
votre avatar
Pas possible les 25 ans : la première version de Wordpress date du 27 mai 2003
votre avatar
Ok, on va être plus précis : ça fait 26 ans que j'ai un site web, et depuis le début j'observe dans les logs des tentatives d'attaque. Au début, c'était en effet plutôt des choses autour de php. Ces 10-15 dernière années, ça tourne plutôt autour de Wordpress, même si on voit encore assez régulièrement des GET /info.php ou autres trucs dans le genre.

Bref, tout ça pour dire : non, il n'y a pas que ssh qui concentre les attaque ; on s'en prend aussi énormément en http & https.

Et en ssh, l'immense majorité cherche à cracker des mots de passe. Si tu n'autorises que l'authentification par clefs publiques, ça coupe tout ça directement.
votre avatar
Je ne dis pas qu'on n'en prends pas... mais comparé à ssh, c'est incomparablement plus reposant! QQ dizaines de tentatives par 24h contre des milliers (malgré fail2ban qui calmait les insistants pour 10mn dans les 2 cas, inutile de mettre des règles plus durables qui vont trop se cumuler surtout qu'on peut soit-même se planter!).

Le truc drôle avec ssh c'est qu'on eu pu lancer le serveur (ca ne semble plus être le cas, je retrouve plus l'option dans le man sshd en tout cas ; il faudrait sans doute le modifier et rebuilder désormais) avec des options de débogage dont il était spécifié qu'il ne fallait pas les utiliser en production car compromettant la confidentialité... vu que cela loggait la totalité du login en clair: Amusant pour voir les combo user/pass utilisés par les robots de bruteforce.
votre avatar
Ce qui aide, chez moi, c’est un endlessh sur le port 22, et le vrai ssh ailleurs.
votre avatar
Ah, c'est rigolo ça, je ne connaissais pas! En prime il peut se combiner avec fail2ban pour conserver le vrai ssh sur le port 22 si je crois ce que j'en lis ici:
https://korben.info/endlessh-script-kiddies-trap.html
votre avatar
Un ssh sur IPv6 only et ssh-key only, c'est assez sûr tout de même. Pour limiter les scan, c'est ce qu'il y a de mieux.
Pour https, les logs peuvent être tronqués car cela dépend de ta manière de gérer les accès sans domaine (juste l'IP), ce qui est le cas le plus courant avec les scans.
votre avatar
je suis d'accord, mais ce n'est pas désactivable je crois, j'ai un H500 de chez Tapo pour y stocker mes enregistrement exprès pour tout avoir en local, à part désactiver l'accès à internet des caméras, je vois pas d'autres solution
votre avatar
Laisser une caméra accéder à l'Internet, c'est prendre le risque que son fabriquant puisse y accéder, sans l'aval du client final, comme ça s'est déja vu maintes fois. C'est tellement facile en même temps de faire ça, pourquoi s'en priver ? Mes caméras sont toutes dans un VLAN sans aucun accès à l'Internet
votre avatar
Il me semble qu'Aqara est une marque de Xiaomi, si je ne me trompe pas ils sont au même titre que TP-Link un gros fabriquant derrière une plus petite entité ?
votre avatar
Aqara a des liens avec Xiaomi (ils ont produit certains appareils estampillés Mijia, leurs produits s'interfacent avec l'environnement logiciel Xiaomi, etc.) et Xiaomi a peut-être des billes dans "Shenzhen Lumi United Technology Co., Ltd", la maison mère d'Aqara, mais je ne crois pas que ce soit totalement intégré. Partenaires plutôt que filiale de ma compréhension
votre avatar
Mes capteurs d'ouverture de porte Zigbee Aqara citent Xiaomi dans leurs dénominations : "Quirk: zhaquirks.xiaomi.aqara.magnet_aq2.MagnetAQ2"
votre avatar
Pareil pour mon Aqara Cube
Quirk: zhaquirks.xiaomi.aqara.cube_aqgl01.CubeAQGL01
votre avatar
Quitte à jouer dans le tout connecté et profiter que c'est ouvert aux quatre vents ou bourré de failles : publiez votre flux vidéo sur les sites de webcam de :bocul: en parallèle.

Avec de la chance, les tips arrondiront les fins de mois :D