L’histoire fait les gros titres de Network World et du Register. Une histoire que l’on pourrait résumer ainsi : l’Internet des trucs a encore frappé.
En ligne de mire, les hubs domotiques de Mios Vera, Wink Hub et les SmartThings Hub et Honeywell Tuxedo Touch. Derrière le fusil, Craig Young, de l’équipe de recherche de Tripwire. Des hubs qui ne sont pas de simples équipements de routage, mais de véritables centrales de commande, généralement accessibles via des protocoles sans fil (Zigbee notamment). Et l’on retrouve, avec cette nouvelle famille de produits, tout l’éventail des erreurs de débutants que l’on pouvait s’attendre à rencontrer sur les routeurs Wifi de première génération : pages Web de la console d’administration simples à forger, accès distant et prise de contrôle à distance (détail particulièrement gênant si ladite prise de contrôle concerne l’alarme anti-intrusion ou le verrouillage des portes), fuites d’information indiquant clairement la présence ou l’absence de personnes dans l’habitat, fuites d’information par intrusion dans le réseau local informatique privé, attaques XSS et CSRF possibles sur bon nombre d’équipements, les chercheurs de Tripwire ayant même imaginé des scénarii utilisant lesdits hubs domotiques pour conduire une attaque en déni de service.
Certains équipementiers tentent de minimiser l’importance de ces recherches en précisant qu’elles ont été conduites sur des équipements dont les firmwares n’avaient pas été mis à jour. Remarque aussi illusoire qu’espérer entendre un jour une conversation entre la poire et le fromage :
– Chérie, as-tu pensé à déployer les correctifs de sécurité de la chaudière et remis à jour le firmware des volets électriques ?
– Certainement mon amour. Et ta réinstallation sur l’ordinateur de bord de la voiture, ça s’est bien passé ?
Le monde de l’automatisme est malade de sa longue ignorance de la sécurité, se croyant à l’abri des vicissitudes que connaissait l’informatique. Mais internet est passé par là , montrant combien le roi était nu. Dans le secteur industriel, tout d’abord, avec ces avalanches d’annonces de failles affectant les automates programmables et autres outils de contrôle de processus (attaques Scada/OIV). Dans le secteur grand public désormais, avec cette version miniature de l’automatisme industriel qu’est la domotique et l’Internet des objets. Mêmes erreurs, même manquements, mêmes excuses discutables et quelques fois … mêmes marques et mêmes constructeurs.