Maison connectée : des chercheurs pointent des défauts de sécurité chez SmartThings

Maison connectée : des chercheurs pointent des défauts de sécurité chez SmartThings

Essuyage de plâtres

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

02/05/2016 6 minutes
22

Maison connectée : des chercheurs pointent des défauts de sécurité chez SmartThings

SmartThings doit faire face aux critiques de chercheurs en sécurité : son système de permissions est trop vaste pour les applications, laissant la porte ouverture à des attaques. Ce spécialiste de la domotique, racheté par Samsung il y aura bientôt deux ans, assure pourtant que le scénario est très improbable.

SmartThings a été rachetée par Samsung en août 2014. Spécialisée en maison connectée, cette entreprise affronte ces derniers temps une crise d’adolescence qui se traduit notamment par un certain nombre de critiques quant à la qualité des solutions proposées. Le PDG de l’entreprise, Alex Hawkinson, avait d’ailleurs déclaré il y a environ deux semaines à Cnet que la résolution de ces soucis était une priorité.

Quelques jours après, on apprenait que SmartThings avait débauché le directeur de l’ingénierie d’Amazon, Robert Parker. Il était en place depuis cinq ans à son poste et gérant l’ensemble de l’innovation technique chez le géant de la vente en ligne. Sa nouvelle mission sera de mieux concrétiser la vision de SmartThings, à savoir connecter entre eux des équipements qui n’ont pas forcément été conçus pour le faire.

Des applications aux droits trop importants

Et c’est bien là le problème. SmartThings propose une boutique contenant environ 500 applications destinées à piloter divers aspects domotiques. L’un des exemples les plus classiques est la serrure intelligente, qui peut notamment comprendre que vous arrivez et prépare votre accueil en déverrouillant la porte d’entrée. Mais ce système global est aujourd’hui critiqué par un groupe de chercheurs de l’université du Michigan.

Dans un document présentant leurs découvertes, ils pointent du doigt plusieurs carences en sécurité. Ces applications peuvent surtout se voir comme un ensemble de routines, nommées SmartApps, que l’on active et utilise pour créer des liens avec des équipements. Or, pour les chercheurs, il y a de sérieux problèmes avec les droits donnés par l’utilisateur à beaucoup d’entre elles. Des droits dont elles n’ont pas spécifiquement besoin pour fonctionner.

Les chercheurs mettent particulièrement en évidence des liens et des regroupements qui ne devraient pas exister. Les fonctions d’ouverture et de fermeture sont par exemple intrinsèquement liées. Des pirates peuvent donc, selon les chercheurs, exploiter l’une ou l’autre s’ils réussissent à rassembler certaines conditions. Ce problème de permissions se retrouve aussi dans l’accès au matériel. Quand l’application principale est installée, elle demande à l’utilisateur s’il veut trouver tous les appareils compatibles sur son réseau. Ces droits d’accès peuvent être globaux, permettant à des applications d’accéder à des appareils pour lesquels elles ne sont pas prévues.

SmartThings

Des malwares faciles à créer selon les chercheurs

Pour montrer à quel point l’ensemble peut être fragile, les chercheurs ont mis au point un malware déguisé sous forme d’application se proposant de rendre un service assez utile : indiquer les niveaux de batterie de tous les appareils détectés. Si l’utilisateur accepte, le malware obtient alors le droit d’effectuer certaines actions, dont l’ouverture des serrures connectées. Sur les 499 applications proposées, 210 (42 %) sont susceptibles d’être détournées de leur objectif premier selon les chercheurs (les questions figurent dans l’appendice C du rapport).

En se servant d’une autre faille accordant trop de privilèges à une application, ils ont pu également développer une porte dérobée dans un autre téléchargement, via un problème de gestion des jetons OAuth. Qu’il s’agisse de cette variante ou de la précédente, une attaque demandera dans tous les cas une action de la part de l’utilisateur. Ce qui n’a rien d’un problème pour les chercheurs : il suffit simplement que l’action ait l’air de rendre service et paraisse tout à fait authentique. Ils ont d’ailleurs interrogé 22 utilisateurs des solutions SmartThings, 20 d’entre eux ayant répondu qu’ils laisseraient une application gérant la batterie demander l’autorisation d’accès à une serrure.

Un problème « éducatif » dans la mesure où de nombreux utilisateurs n’ont pas les connaissances nécessaires pour apprécier pleinement la dangerosité d’une situation. Et pourquoi le feraient-ils ? La plupart des produits liés à l’informatique sont travaillés pour les rendre simples d’accès et donc utilisables par le premier venu. Une intention parfaitement louable – la simplicité est une composante de l’efficacité – mais qui endort la méfiance. Or, en matière de domotique et de maison connectée, il faut clairement faire attention.

Une documentation mise à jour pour mieux guider les développeurs

Pour SmartThings cependant, la situation n’a rien de catastrophique. Dans une réponse donnée à The Verge, l’entreprise indique ainsi : « Les vulnérabilités potentielles du rapport reposent essentiellement sur deux scénarios : l’installation d’une SmartApp malveillante ou l’échec de développeurs tiers à suivre les lignes de conduite de SmartThings sur la manière de garder le code sécurisé ».

Cela étant, l’entreprise n’est pas restée non plus les bras croisés : « À la suite de ce rapport, nous avons mis à jour notre documentation pour fournir aux développeurs des guides de sécurité encore meilleurs ». Le signe indubitable qu’il y avait donc de la place pour des améliorations. SmartThings indique cependant qu’aucune SmartApp ne peut se retrouver proposée sans avoir subi toute une batterie de tests de sécurité (réponse de l’entreprise en appendice D).

Des technologies encore jeunes

Les chercheurs indiquent que le concept même de maison connectée n’en est globalement qu’à ses débuts et que les clients actuels font un peu figure de « testeurs ». Il existe aussi bien selon des problèmes d’éducation auprès des utilisateurs que de sécurité plus profonde dans le framework général, c’est-à-dire l’infrastructure qui permet aux objets de se reconnaître et de communiquer. « Les risques sont significatifs, et il est peu probable qu’ils soient réglés par de simples correctifs de sécurité ».

Quoi qu’il en soit, les chercheurs indiquent en fin de rapport que toutes les failles et l’ensemble des autres problèmes ont été communiqués à SmartThings en décembre dernier. Il leur a été répondu un mois plus tard que la situation serait examinée de près, le souci des jetons OAuth devant normalement avoir été réglé courant avril.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des applications aux droits trop importants

Des malwares faciles à créer selon les chercheurs

Une documentation mise à jour pour mieux guider les développeurs

Des technologies encore jeunes

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (22)




Ce spécialiste de la domotique, racheté par Samsung il y aura bientôt

deux ans, assure pourtant que le scénario est très improbable.



Haha.


Je vois que la crédibilité de la société a disparu au même point pour toi que pour moi <img data-src=" />


Il manque le siège éjectable en cas de fuite de gaz ou d’incendie <img data-src=" />


Contournement en attendant le patch : Bloquez la porte avec une chaise.








Zergy a écrit :



Contournement en attendant le patch : Bloquez la porte avec une chaise.





ouais mais si les chaises sont connectées ?

&nbsp;









darkbeast a écrit :



ouais mais si les chaises sont connectées ?





Encore faudrait-il contourner le contrôle biométrique de la chaise, à savoir le scan de l’anus : pas facile à reproduire <img data-src=" />



Suffit de pair la chaise avec ton navigateur sur PC pour ensuite lancer une appli mobile qui te contrôle ta chaise à distance grace au miracle des API web :)


J’hésite à signaler ce passage :

“Il existe aussi bien selon des”

parce que c’est peut être seulement que je l’ai pas compris (et dans ce cas, je voudrais bien qu’on me l’explique).








CryoGen a écrit :



Encore faudrait-il contourner le contrôle biométrique de la chaise, à savoir le scan de l’anus : pas facile à reproduire <img data-src=" />





il faudra faire gaffe quand j’irais à la fistinière que quelqu’un ne fasse pas “discrètement” un scan de mon anus









darkbeast a écrit :



il faudra faire gaffe quand j’irais à la fistinière que quelqu’un ne fasse pas “discrètement” un scan de mon anus







Voyons, comment peux tu à la fois bloquer ta porte avec une chaise et être à la fistinière ? Tu vois bien que c’est improbable enfin, Smarthings a raison <img data-src=" />









CryoGen a écrit :



Voyons, comment peux tu à la fois bloquer ta porte avec une chaise et être à la fistinière ? Tu vois bien que c’est improbable enfin, Smarthings a raison <img data-src=" />





c’est vrai ils ont raison, c’est pas comme si&nbsp; on nous vendait des voitures dans clé et qu’on pouvais ouvrir et démarrer avec un simple smartphone









CryoGen a écrit :



Voyons, comment peux tu à la fois bloquer ta porte avec une chaise et être à la fistinière ? Tu vois bien que c’est improbable enfin, Smarthings a raison <img data-src=" />









darkbeast a écrit :



c’est vrai ils ont raison, c’est pas comme si  on nous vendait des voitures dans clé et qu’on pouvais ouvrir et démarrer avec un simple smartphone





Je me demande bien comment le smartphone est utilisé pour le scan de l’anus <img data-src=" />









fred42 a écrit :



Je me demande bien comment le smartphone est utilisé pour le scan de l’anus <img data-src=" />





comme un scan du doigt



Une armée de soubrettes et de barbouzes, cela sécurise toute sortes de maisons.<img data-src=" />








darkbeast a écrit :



comme un scan du doigt





C’est digital. <img data-src=" />



“Une intention parfaitement louable – la simplicité est une composante de l’efficacité”

Euhhhhhh…. Non.



On peut être très efficace sans être simple.

C’est tout le souci ici : c’est TROP simple, donc pas efficace (point de viue sécurité)



La manie moderne de tout simplifier pour que Michu se prenne pour un intégrateur logiciel, que papy bidouille son tableau electrique, etc.



Simple, épuré, etc. : bah desfois ca va à l’encontre du but recherché.








CryoGen a écrit :



Encore faudrait-il contourner le contrôle biométrique de la chaise, à savoir le scan de l’anus : pas facile à reproduire <img data-src=" />





Les stats de dépistage du cancer colorectal vont repartir à la baisse …&nbsp;<img data-src=" />



On pourra pirater une maison connectée en utilisant son ADN. Une canette de coca jetée, les hackers ont accès à tout: compte en banque, maison connectée, smartphone,la femme connectée. J’ai hâte d’avoir une femme cyborg comme dans ex-machina.


“hautement improbable” aka “on ne s’est pas posé la question”.


“Mais regardez, on a mis du SSL trucmuche, c’est donc sécurisé!”


A mon avis: “&nbsp;Il existe aussi bien selon&nbsp;eux [les chercheurs] …”








Jallec a écrit :



A mon avis: “&nbsp;Il existe aussi bien selon&nbsp;eux [les chercheurs] …”





merci <img data-src=" />