du 01 février 2019
Date

Choisir une autre édition

Les objets connectés font une nouvelle fois parler d'eux, avec malheureusement un cas bien trop banal de failles de sécurité.

Comme l'a découvert Limited Results en démontant une ampoule connectée du fabricant, le mot de passe du réseau Wi-Fi, le certificat racine et la clé privée RSA étaient stockés en clair dans le firmware. Il fallait certes accéder à l'ampoule et la démonter pour les récupérer, mais c'est un manque flagrant de sécurité.

Limited Results a pris contact avec Lifx en mai dernier pour demander à discuter avec leurs ingénieurs, en demandant des clés PGP pour chiffrer leurs échanges. Quatre mois plus tard, sans réponse de leur part, le rapport d'incident est envoyé par email. Le lendemain, une réponse était apportée.

Lifx a reconnu la faille et demandé 150 jours pour la corriger avant publication. Après discussions avec les chercheurs, le délai a été abaissé à 90 jours. Une mise à jour du firmware a été proposée durant le quatrième trimestre 2018.

Ampoules connectées Lifx : le mot de passe Wi-Fi était stocké en clair
chargement Chargement des commentaires...