Logiciels

Piratée, une machine à café connectée devient incontrôlable


Un chercheur en sécurité informatique est parvenu à pirater une machine à café connectée, de façon à simuler une attaque par rançongiciel.

Elle aura réclamé une rançon pour fonctionner à nouveau. Une machine à café connectée a fait les frais d’un piratage, orchestré par le chercheur en sécurité informatique Martin Hron, d’Avast.

Il aura tout de même fallu une semaine de travail, et de minutieux efforts pour démonter la machine, afin que Martin Hron parvienne à ses fins, relève le site spécialisé Ars Technica.

Une fois la machine sous contrôle, le chercheur en sécurité est parvenu non seulement à allumer le brûleur à distance mais aussi à faire couler de l’eau, à faire tourner le moulin à grains ou encore à afficher un message, clignotant et insistant, de demande de rançon. Devenue incontrôlable, la machine devait être débranchée en dernier recours pour se remettre à fonctionner normalement.

Une mise en garde

En sa démarche, Martin Hron voit un énième signal d’alarme à destination des concepteurs d’objets connectés. « Ce qui s’est produit (avec cette machine) pourrait très bien se produire pour d’autres objets connectés », avertit-il ainsi, comme bien d’autres chercheurs en sécurité avant lui.

La faille de sécurité se situait en l’occurrence au niveau de la liaison Wi-Fi, destinée à relier la machine à café à l’application de configuration installée sur smartphone, mais aussi au niveau du programme de mise à jour de l’appareil.

Pour Martin Hron, il s’agit de faire en sorte que les concepteurs d’objets connectés accordent une plus grande vigilance à la sécurisation de leurs produits, qu’il s’agisse des innovations tout récemment mises sur le marché ou des plus vieux modèles encore en circulation.

Anodins au premier abord, ces piratages peuvent en réalité rapporter gros à leurs auteurs. En 2016, une équipe de chercheurs était ainsi parvenue à pirater à distance le modèle d’ampoules connectées Philips Hue, relevait le New York Times. Ces simples objets connectés avaient pu être utilisés pour envoyer un logiciel malveillant à d’autres objets connectés au même réseau… et récupérer ainsi, potentiellement, un bien plus large éventail d’informations.


Source link