Ampoules connectées Lifx : le mot de passe Wi-Fi était stocké en clair
Le 01 février 2019 à 09h39
1 min
Sciences et espace
Sciences
Les objets connectés font une nouvelle fois parler d'eux, avec malheureusement un cas bien trop banal de failles de sécurité.
Comme l'a découvert Limited Results en démontant une ampoule connectée du fabricant, le mot de passe du réseau Wi-Fi, le certificat racine et la clé privée RSA étaient stockés en clair dans le firmware. Il fallait certes accéder à l'ampoule et la démonter pour les récupérer, mais c'est un manque flagrant de sécurité.
Limited Results a pris contact avec Lifx en mai dernier pour demander à discuter avec leurs ingénieurs, en demandant des clés PGP pour chiffrer leurs échanges. Quatre mois plus tard, sans réponse de leur part, le rapport d'incident est envoyé par email. Le lendemain, une réponse était apportée.
Lifx a reconnu la faille et demandé 150 jours pour la corriger avant publication. Après discussions avec les chercheurs, le délai a été abaissé à 90 jours. Une mise à jour du firmware a été proposée durant le quatrième trimestre 2018.
Le 01 février 2019 à 09h39
Commentaires (6)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 01/02/2019 à 13h43
Donc au final on ce retrouve avec un délais de 7 mois pour corrigé une faille et ils en réclamaient 9 …
Le 01/02/2019 à 14h53
D’un autre coté, il faut quand même retirer l’ampoule, la détruire (pour accéder à la carte) et faire des soudures pour accéder à la mémoire. Ca veut dire que le gars, pour faire une attaque en passant inarperçu puisse subtiliser l’ampoule, faire la manip et remplacer l’ampoule par une autre en la configurant de la même manière (changement de mac address ?)
Niveau dangerosité de la faille, ça reste acceptable pour un particulier.
Le 01/02/2019 à 17h04
Le 01/02/2019 à 17h51
Il n’y a rien ni ici ni sur le site Limited Results qui permet de conclure ce que tu affirmes. Le nom du site est explique pourquoi tu ne trouveras pas une information du type de celle que tu as cru comprendre.
La seule information claire est que le mot de passe du réseau Wi-Fi sur lequel l’ampoule est connectée est stockée en clair dans l’ampoule.
Il faut donc éviter de jeter l’ampoule quand elle ne fonctionne plus sans avoir effacé (si c’est possible) les infos sur le Wi-Fi.
Le 01/02/2019 à 18h41
Le 01/02/2019 à 18h56
De plus, un certificat racine n’est généralement pas une information secrète, il permet au contraire de vérifier qu’un autre certificat a bien été signé avec la clé privée que détient celui qui a publié ce certificat racine.
Le seul vrai loupé est d’avoir embarqué la clé secrète, mais, là encore on ne sait pas à quoi elle sert.