Il ne se passe quasiment pas une semaine sans qu’une brèche de sécurité autour des objets connectés remonte à la surface. Cette fois-ci, c’est un mastodonte du secteur qui est directement touché.
Les chercheurs en sécurité de Check Point expliquent avoir pu prendre le contrôle d’une ampoule connectée Hue et l’infecter avec un firmware modifié. Ils s’amusent ensuite à modifier la couleur et l’intensité, le propriétaire n’arrivant pas à contrôler son ampoule devant la supprimer de son application, puis demander au pont de la retrouver.
Le pont la trouve effectivement et l’ajoute. Les attaquants peuvent alors exploiter « des vulnérabilités du protocole ZigBee pour déclencher un débordement de tampon sur le pont en envoyant une grande quantité de données ». Ils ont alors accès au réseau local du propriétaire de l’ampoule et peuvent y attaquer des machines.
Philips a été prévenu en novembre de cette faille et a déployé en janvier un correctif (firmware 1935144040). Pensez-donc à mettre à jour vos appareils via l'application ou à activer la procédure automatisée si ce n'est pas déjà fait. En accord avec la société, Check Point décale la publication des détails techniques de cette attaque de quelques semaines.
Une vidéo de l’attaque a été mise en ligne.
