Les objets connectés envahissent de plus en plus notre quotidien, ce qui n'est pas sans poser certaines questions notamment du côté de la sécurité. Les produits WeMo de Belkin viennent justement d'en faire les frais, même si le fabricant indique avoir déjà mis en ligne les correctifs adéquats.
Nous avons pu le remarquer lors du CES de Las Vegas : les objets connectés arrivent tous azimuts, y compris dans des produits auxquels on ne s'y attendait pas forcément. C'est par exemple cas des pots de fleurs, des cocottes-minute et des brosses à dents, mais il ne s'agit certainement que du début.
Alors que nous évoquions récemment le cas des « Thingbots », des objets connectés détournés afin de créer un botnet et générer du spam, IOActive indique avoir identifié une faille de sécurité dans les produits WeMo de Belkin. Il serait ainsi possible de les contrôler à distance, mais aussi d'accéder au réseau Wi-Fi sur lequel ils sont connectés afin d'attaquer d'autres machines.
Selon le rapport d'IOActive, cela concerne tous les produits WeMo de Belkin, ce qui représenterait environ 500 000 utilisateurs. Cela va donc de l'interrupteur mural à la prise commandée en passant par divers détecteurs. Notez que suite à cela, le CERT a également mis en ligne un bulletin d'alerte.
De son côté, le fabricant indique à plusieurs de nos confrères (Ars Technica et TechCrunch par exemple) que cette faille a d'ores et déjà été corrigée grâce à plusieurs mises à jour : depuis novembre 2013 l'API WeMo est protégée contre une injection XML, tandis qu'un nouveau firmware a été développé pour les produits WeMo. Il est disponible depuis le 24 janvier 2014 et propose notamment un chiffrement SSL.
Ce firmware est déployé sur les appareils WeMo via les dernières moutures des applications pour Android et pour iOS, datées respectivement du 10 février et du 24 janvier de cette année. Si ce n'est pas déjà fait, il est donc important de vérifier que vous disposez bien de la dernière version de l'application WeMo et que l'ensemble de vos appareils connectés est à jour avec le firmware 3949.
Interrogé par nos confrères d'Arts Technica, un responsable de Belkin conclut cette rocambolesque histoire de la manière suivante : « le plus important c'est que les produits WeMo ne présentent pas un risque de sécurité. Toutes les failles publiées dans l'avis du CERT ont déjà été traitées et corrigées ». C'est une manière de voir les choses, une autre pourrait être de se dire que les objets connectés peuvent, eux aussi, présenter des failles de sécurités et que cela peut avoir des conséquences plus ou moins fâcheuse, car cela touche aux équipements électriques de la maison.