En juillet, David Tomaschik a réussi à se passer des cartes RFID habituellement nécessaires pour entrer dans son bureau, en exploitant des failles logicielles des produits de Software House, rapporte Forbes.
En scrutant les messages chiffrés envoyés par ces produits (iStar Ultra et IP-ACM) sur le réseau, il a découvert qu'ils n'étaient pas aléatoires. Ils utilisaient tous une clé de chiffrement écrite en dur dans leur code.
Il a donc pu envoyer des commandes d'ouverture de portes, sans laisser de traces. Désormais, le iStar v2 Board chiffre le transport des commandes via TLS. À Forbes, Google assure ne pas avoir de preuve d'une exploitation malveillante de ces failles.
L'affaire rappelle encore la piètre sécurité des objets connectés, à laquelle l'Union européenne souhaite remédier, avec une certification des objets connectés.
Commentaires (1)
#1
C’est la “porte ouverte” à tous les piratages … 
" />