mardi 11 août 2020
Promotion Meilleur VPN 2020
Accueil Réseau & Sécurité Près de 900 foyers connectés vulnérables aux fuites de données en France

Près de 900 foyers connectés vulnérables aux fuites de données en France

Des recherches menées par Avast révèlent cinq méthodes utilisées par les cybercriminels pour compromettre les serveurs MQTT afin de pirater les logements intelligents.

Une nouvelle enquête d’Avast, le leader mondial des produits de sécurité digitale, démontre que plus de 49 000 serveurs MQTT sont publiquement visibles en ligne dans le monde à cause d’une mauvaise configuration du protocole. Le MQTT (Message Queuing Telemetry Transport) est un protocole de messagerie Souscription-Publication, dédié à l’Internet des Objets et permettant de connecter des systèmes entre eux. En France, près de 900 serveurs, non protégés par des mots de passe, sont concernés ; les exposant à des risques de fuite de données. Ce protocole MQTT est utilisé pour interconnecter et contrôler les appareils connectés domestiques, via des hubs – des appareils physiques qui centralisent et mettent en relation les objets intelligents. Lors de son implémentation, les particuliers configurent un serveur, généralement situé sur un PC, ou un mini-ordinateur tel que Raspberry Pi, sur lequel les appareils se connectent et communiquent.

Bien que le protocole MQTT en lui-même soit sécurisé, de graves problèmes de protection peuvent survenir s’il n’est pas correctement implémenté et configuré. Les cybercriminels pourraient en effet avoir un accès complet à un domicile et savoir quand les propriétaires, ou occupants, sont présents, manipuler les appareils au service du divertissement et ménagers, ainsi que les assistants vocaux ; et voir si des portes et des fenêtres intelligentes sont ouvertes ou fermées. Parfois, les hackers peuvent même suivre à la trace un utilisateur, ce qui peut constituer une menace grave pour la vie privée et la sécurité.

« Il est extrêmement facile d’accéder et de contrôler une maison intelligente, car de nombreux protocoles sont encore mal sécurisés, issus de technologies anciennes, mises au point lorsque la sécurité n’était pas une préoccupation majeure, a déclaré Martin Hron, chercheur en sécurité chez Avast. Les consommateurs doivent être conscients des problèmes de sécurité liés à la connexion de périphériques contrôlant des espaces privés de leur domicile, à des services qu’ils ne maîtrisent pas pleinement, et de l’importance de configurer correctement leurs appareils. »

Selon Martin Hron, les cybercriminels peuvent exploiter les serveurs MQTT mal configurés selon les cinq manières suivantes :

  1. Les serveurs MQTT ouverts et non protégés peuvent être trouvés en utilisant le moteur de recherche Shodan IoT. Une fois connectés, les cybercriminels sont en mesure de lire les messages qui ont été transmis avec le protocole MQTT, et de savoir, grâce aux capteurs intelligents, si les fenêtres et les portes sont ouvertes, et les lumières allumées ou éteintes, par exemple. Dans ce cas particulier, Avast a constaté que des tiers pouvaient contrôler les appareils connectés, ou au moins compromettre les données en exploitant le protocole MQTT à la place des objets intelligents. Ainsi, un attaquant serait capable d’envoyer des messages au hub pour ouvrir la porte d’un garage.
  2. Même si un serveur MQTT est protégé, Avast a observé qu’une maison intelligente pouvait être piratée. En effet, le tableau de bord, utilisé pour contrôler son panneau de configuration, s’exécute parfois sur la même adresse IP que le serveur MQTT. De nombreux particuliers utilisent des configurations par défaut, fournies avec le logiciel du hub, et qui ne sont bien souvent pas protégées par un mot de passe. Ce qui signifie qu’un hacker peut accéder à tout le tableau de bord, et ainsi prendre le contrôle de n’importe quel appareil intelligent présent dans la maison.
  3. Même si le serveur MQTT et le tableau de bord sont protégés, Avast a découvert qu’avec Home Assistant, un logiciel pour hub, les échanges sont publics et accessibles aux cybercriminels s’ils sont effectués via le protocole ouvert et non protégé Server Message Block (SMB), utilisé pour partager des ressources sur des réseaux internes, principalement sous Windows. L’éditeur de sécurité a également constaté que des répertoires sont partagés avec tous les fichiers de Home Assistant, y compris avec ceux liés à la configuration. Dans les fichiers exposés, Avast en a identifié un contenant des mots de passe et des clés, stockés en texte brut. Or, ces informations peuvent permettre à un pirate de contrôler complètement le domicile d’une personne.
  4. Les particuliers peuvent utiliser des outils et des applications pour créer un tableau de bord pour leur maison intelligente, basés sur MQTT, afin de contrôler leurs appareils connectés, notamment avec l’application MQTT Dash. Les utilisateurs ont la possibilité de publier les paramètres, configurés à l’aide du tableau de bord, sur le serveur MQTT. Ainsi, il est très simple de reproduire ces paramètres sur tous les périphériques souhaités. Seulement, si le serveur utilisé n’est pas sécurisé, un cybercriminel peut facilement accéder au tableau de bord et pirater la maison.
  5. Avast a par ailleurs pu observer que les serveurs MQTT peuvent, dans certains cas, permettre aux hackers de suivre la localisation des utilisateurs, car ils se concentrent généralement sur les données en temps réel. Nombreux sont ceux connectés à une application mobile appelée OwnTracks. Cette dernière donne aux particuliers la possibilité de partager leur position avec d’autres personnes. Elle peut également être utilisée pour permettre aux appareils connectés de s’activer automatiquement, comme les lampes par exemple, dès lors que les propriétaires ou occupants de la maison intelligente s’en rapprochent. Pour ce faire, ils doivent configurer l’application en se connectant à un serveur MQTT, et donc exposer ce dernier à Internet. Au cours de ce processus, les utilisateurs ne sont pas obligés de configurer les informations de connexion, ce qui signifie que n’importe qui peut se connecter au serveur, y compris les cybercriminels. Ils sont alors en mesure d’accéder à un certain nombre d’informations, telles que le niveau de batterie d’un périphérique, l’emplacement en utilisant la latitude, la longitude et les points d’altitude, ainsi que les dates et les heures des déplacements.

Les recherches complètes d’Avast sont disponibles sur son blog: https://blog.avast.com/mqtt-vulnerabilities-hacking-smart-homes

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

400 vulnérabilités pourraient transformer 3 milliards de téléphones Android en espions

L'alerte est donnée : il existe plus de 400 vulnérabilités sur la puce Snapdragon de Qualcomm qui peuvent être exploitées sans l'intervention des propriétaires, explique Slava Makkaveev de Check Point.

Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l'État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...