Étude des menaces

L'Internet des Objets : comment les vulnérabilités d'une machine à café symbolisent le monde risqué des objets connectés

Martin Hron, 18 janvier 2020

Nous avons piraté une machine à café de plusieurs façons, même en la convertissant en machine à ransomware et en passerelle pour un réseau domestique.

Pensez à votre pire cauchemar sur les objets connectés : vos appareils intelligents vous attaquent. Maintenant imaginez encore pire : votre machine à café ne vous sert plus votre café du matin !

Pour un pirate éthique (white hat) et un ingénieur, cette dernière situation est effrayante. Pour explorer les vulnérabilités des appareils connectés, nous avons donc décidé de pirater une machine à café.

Quelle est la pire chose qui pouvait arriver ? Un pirate brûlant mon café ? En fait, nous avons réussi à convertir la machine à café en machine à ransomware. Plus sinistre encore, nous avons réussi à pirater la machine à café pour en faire une passerelle vers un réseau domestique et espionner tous les appareils qui y étaient connectés.

Et le café n’était pas prêt (désolé de vous faire aussi peur).

Nous avons exploité un problème courant : comme de nombreux appareils connectés, la machine à café était fournie avec des paramètres par défaut et une connexion Wi-Fi. Elle a donc fonctionné directement après son déballage. Aucun mot de passe n’a été requis pour connecter la machine à café au Wi-Fi. Insérer du code malveillant dans la machine a donc été un jeu d’enfant.

Nous avons piraté cet appareil de façon extrême, en la convertissant en machine à ransomware et en l’utilisant comme passerelle pour accéder au réseau de tout le foyer. Nous n’avons pas piraté qu'une machine à café. Nous avons démontré le piratage potentiel d’un monde d’appareils connectés.

Une récente recherche d’Avast et de l’Université de Stanford a révélé que 66 % des foyers d’Amérique du Nord comptaient au moins un appareil connecté, contre 40 % des foyers dans le monde. Un groupe relativement restreint de fabricants d’appareils connectés (90 % des appareils sont fabriqués par 100 marques) suggère de potentielles vulnérabilités similaires, pour des attaques à large échelle.

La machine à café que nous avons piratée ressemble probablement beaucoup à celle que vous avez chez vous. Vous pouvez faire du café en appuyant sur quelques boutons et vous pouvez commander la machine depuis une application sur votre téléphone ou votre tablette.

Au cours de l’installation, de nombreux appareils intelligents se connectent d’abord à votre réseau domestique via leur propre réseau Wi-Fi. Idéalement, les utilisateurs protègent immédiatement leur réseau Wi-Fi avec un mot de passe. Mais de nombreux appareils sont vendus sans mot de passe pour protéger leur réseau Wi-Fi et de nombreux utilisateurs n’en ajoutent pas. C'est une énorme vulnérabilité, parce que le réseau Wi-Fi est public et visible de tout le monde. Les pirates peuvent donc le voir et l’utiliser pour compromettre votre appareil connecté, en y intégrant du code malveillant par exemple. Une fois l’appareil compromis, d’autres appareils de votre foyer peuvent aussi être piratés. En fait, il est possible d’accéder à tout un réseau à partir d'un seul appareil connecté. Les méchants peuvent même accéder aux ordinateurs ou appareils mobiles connectés à ce réseau.

Nous avons infiltré la machine à café via le Wi-Fi, puis intégré des mises à jour logicielles malveillantes qui ont fait faire à la machine des choses inattendues et potentiellement dangereuses. Nous avons fait surchauffer le brûleur, ce qui peut déclencher un incendie. Nous avons fait couler de l'eau bouillante dans le brûleur. Nous avons même demandé à la machine à café d’envoyer des ransomwares pour demander un paiement.

Et le pire, c’est que la machine à café piratée ou les appareils qui y sont connectés ne manifestent aucun symptôme vous laissant soupçonner un quelconque piratage. N’oubliez pas : la machine à café peut être piratée à distance via une passerelle donnant accès à tout votre réseau. Cela veut dire que les pirates peuvent accéder à tout : les e-mails envoyés sur le réseau Wi-FI, les informations de paiement saisies lors de vos achats en ligne, le système de sécurité réseau, le moniteur bébé, tout.

C'est le risque que vous prenez lorsque vous connectez des appareils sans vérifier leur sécurité. C'est ce que font des milliers d’utilisateurs, sans réaliser combien ils s’exposent à une compromission de leur réseau. C'est pour cela que nous avons réalisé cette expérience, pour que tout le monde se réveille à l’odeur du café.

Solutions sécurité IoT

Comment pouvez-vous sécuriser votre foyer connecté ? Suivez ces conseils de sécurité IoT.

  • Sécurisez votre réseau sans fil : la sécurité d’un réseau IoT se situe au niveau votre routeur. Vos appareils sont fournis avec un mot de passe par défaut, alors remplacez-le tout de suite par un mot de passe complexe.
  • Renseignez-vous sur les produits de cybersécurité IoT qui sortiront prochainement, comme Avast Smart Home Security.
  • Modifiez les mots de passe d’origine : cela vaut pour tous les appareils avec un mot de passe par défaut, pas seulement votre routeur.
  • Maîtrisez vos appareils : on sait que vous voulez juste utiliser votre appareil dès que vous le sortez de sa boîte, mais vous ne devez en aucun cas le considérer comme un simple gadget.
  • Effectuez toujours les mises à jour : on ne le répétera jamais assez, gardez les micro-logiciels de vos appareils connectés à jour avec les dernières versions et correctifs disponibles.
  • Ne connectez que le strict minimum : si vous n’avez pas forcément besoin d'une machine à café ou d’ampoules « intelligentes », restez sur des appareils classiques.

Il y a des risques, mais aussi des solutions. Inutile d’avoir peur de cette foule d’appareils connectés. Faites attention à ce que vous connectez à votre réseau, protégez vos appareils et vous pourrez explorer en toute sécurité le monde des appareils connectés.