Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Ampoules connectées Lifx : le mot de passe Wi-Fi était stocké en clair

Ampoules connectées Lifx : le mot de passe Wi-Fi était stocké en clair

Le 01 février 2019 à 09h39

Les objets connectés font une nouvelle fois parler d'eux, avec malheureusement un cas bien trop banal de failles de sécurité.

Comme l'a découvert Limited Results en démontant une ampoule connectée du fabricant, le mot de passe du réseau Wi-Fi, le certificat racine et la clé privée RSA étaient stockés en clair dans le firmware. Il fallait certes accéder à l'ampoule et la démonter pour les récupérer, mais c'est un manque flagrant de sécurité.

Limited Results a pris contact avec Lifx en mai dernier pour demander à discuter avec leurs ingénieurs, en demandant des clés PGP pour chiffrer leurs échanges. Quatre mois plus tard, sans réponse de leur part, le rapport d'incident est envoyé par email. Le lendemain, une réponse était apportée.

Lifx a reconnu la faille et demandé 150 jours pour la corriger avant publication. Après discussions avec les chercheurs, le délai a été abaissé à 90 jours. Une mise à jour du firmware a été proposée durant le quatrième trimestre 2018.

Le 01 février 2019 à 09h39

Commentaires (6)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Donc au final on ce retrouve avec un délais de 7 mois pour corrigé une faille et ils en réclamaient 9 …

votre avatar

D’un autre coté, il faut quand même retirer l’ampoule, la détruire (pour accéder à la carte) et faire des soudures pour accéder à la mémoire. Ca veut dire que le gars, pour faire une attaque en passant inarperçu puisse subtiliser l’ampoule, faire la manip et remplacer l’ampoule par une autre en la configurant de la même manière (changement de mac address ?)

Niveau dangerosité de la faille, ça reste acceptable pour un particulier.

votre avatar







tazvld a écrit :



Niveau dangerosité de la faille, ça reste acceptable pour un particulier.





Euh, de ce que je comprend, ça veut surtout dire que toutes les ampoules ont les mêmes identifiants…


votre avatar

Il n’y a rien ni ici ni sur le site Limited Results qui permet de conclure ce que tu affirmes. Le nom du site est explique pourquoi tu ne trouveras pas une information du type de celle que tu as cru comprendre.



La seule information claire est que le mot de passe du réseau Wi-Fi sur lequel l’ampoule est connectée est stockée en clair dans l’ampoule.



Il faut donc éviter de jeter l’ampoule quand elle ne fonctionne plus sans avoir effacé (si c’est possible) les infos sur le Wi-Fi.

votre avatar







fred42 a écrit :



Il faut donc éviter de jeter l’ampoule quand elle ne fonctionne plus sans avoir effacé (si c’est possible) les infos sur le Wi-Fi.





Concernant le mot de passe wifi, effectivement, par contre le certificat racine en clair, c’est le même pour toutes les ampoules.


votre avatar

  1. je ne suis pas sûr qu’ils aient étudié plusieurs ampoules.



    1. on ne sait pas à quoi sert ce certificat et tu parlais d’identifiant dans ton premier message.



      De plus, un certificat racine n’est généralement pas une information secrète, il permet au contraire de vérifier qu’un autre certificat a bien été signé avec la clé privée que détient celui qui a publié ce certificat racine.



      Le seul vrai loupé est d’avoir embarqué la clé secrète, mais, là encore on ne sait pas à quoi elle sert.


Ampoules connectées Lifx : le mot de passe Wi-Fi était stocké en clair

Fermer