L’histoire peut paraître insolite mais illustre bien l’informatisation de très nombreux appareils du quotidien. Et il n’y a guère plus quotidien que le lieu d’aisance, dont un fabricant japonais s’est fait une spécialité high-tech : des toilettes électroniques pilotables par une application Android. Mais la sécurité défaillante du modèle pourrait bien provoquer des situations… particulières.
La société Lixil commercialise des toilettes qui n’ont guère de rapport avec les modèles plus classiques que l’on peut trouver en Europe ou mêmes aux États-Unis. Le modèle Satis en particulier présente un aspect encore plus « moderne » : une application Android permettant de contrôler l’objet à distance. C’est ainsi que l’utilisateur peut déclencher l’ouverture ou la fermeture de la cuvette, ouvrir la chasse d’eau, activer la musique ou le diffuseur de parfum.
Mais si cette application mobile peut représenter chez certains le summum de la modernité, elle vient au prix d’une faille de sécurité. Pour communiquer, le smartphone Android doit en effet passer par le Bluetooth. Or, le constructeur a fait à cet égard un choix pour le moins étrange. Comme toute connexion Bluetooth, un appairage doit d’abord avoir lieu. Dans le cas du Satis, le code PIN est de « 0000 » comme de nombreux périphériques. À ceci près… que ce code est inscrit dans le matériel et ne peut être changé.
Dans la pratique, comme l’indique dans un rapport de sécurité la société Trustwave, il est possible littéralement de pirater les toilettes Satis. N’importe quel utilisateur suffisamment proche de l’objet pourrait appairer son appareil via le code PIN qui n’a rien de complexe à deviner. Une fois le smartphone lié, l’utilisateur malintentionné pourrait activer les différentes fonctionnalités de l’appareil, pouvant alors provoquer un certain inconfort à la personne qui l’utilise.
Évidemment, dans la pratique, le danger n’est pas réellement important. L’utilisateur des toilettes pourrait se retrouver incommodé, gêné ou aspergé d’eau (ou de parfum) mais il ne court pas de risque réel. Cependant, le cas met en évidence l’informatisation galopante des objets du quotidien ainsi que les risques liés à la connectivité de tels appareils.
Notez que la société Trustwave a contacté à plusieurs reprises le fabricant japonais, sans obtenir de réponse.
