Samsung : sérieuses failles de sécurité dans les produits SmartThings
Les centaines de milliers d’utilisateurs de produits SmartThings, propriété de Samsung en août 2014, courent de sérieux dangers. Forbes rapporte l’alerte lancée par Tobias Zillner, chercheur pour la société Cognosec, des risques potentiels dont ils pourraient être les victimes : la sécurité des produits domotiques de SmartThings et des périphériques tiers peut en effet être prise à défaut.
En août dernier, durant la conférence Black Hat de Las Vegas, Zillner a pu déchiffrer la clé censée protéger les signaux circulant dans un hub SmartThings — le lieu central de triage des commandes de l’utilisateur. De fait, les communications ultérieures circulant dans ce hub peuvent être déchiffrées. Jusqu’à présent, le chercheur n’avait pas révélé le nom du constructeur léger sur la sécurité.
« À partir du moment où je suis capable de pirater le système », explique-t-il, « je peux ouvrir une porte fermée [protégée par un loquet connecté au système SmartThings] et tromper les capteurs de mouvements sans laisser aucune trace dans le système ». Et évidemment, l’utilisateur n’est pas prévenu de l’infraction, et pour cause : le système de surveillance ne repère absolument rien.
Zillner prévient aussi d’une autre faille de sécurité dans le protocole ZigBee, sur lequel repose les produits SmartThings. Une des clés censée protéger l’envoi d’une autre clé de remplacement est publique. Ces vulnérabilités combinées contribuent à l’affaiblissement considérable du système SmartThings.
Le chercheur a bien évidemment prévenu SmartThings de ses découvertes, en promettant fin décembre un correctif pour le mois de janvier. La semaine dernière, ce correctif n’était toujours pas disponible, et Samsung n’a pas encore réagi.
À la lumière de ces problèmes, on comprend mieux la volonté d’Apple de verrouiller complètement HomeKit : le constructeur demande un chiffrage avec des clés 3072 bits générés à l’aide d’une méthode tout aussi exigeante (lire : HomeKit serait trop sécurisé pour son propre bien). Dans le cas d’un cadenas connecté, il importe en effet que la sécurité soit optimale… voire tatillonne.
Pfff 3072 bits... ça ne va servir à rien puisqu'ils seront bientôt obligés d'installer un back door
() (; ̄ ̄)
Blague à part, à cause de ce chiffrement fort que des retards de dev ont été constatés sur pas mal de produits. Il faut une puce plutôt puissant pour pouvoir chiffrer/déchiffrer en temps réel.
Mais c'est plutôt rassurant.
J'attends un produit Tado ou Netatmo full HomeKit pour ma nouvelle chaudière...
@XiliX :
Bonjour, cher netatmo il existe une édition HomeKit de leur thermostat, en promo à 149€ pour le moment.
Il fonctionne avec Siri ainsi qu une apps dédié.
Mais je de déplore le peux de produits HomeKit sur le marché
Cordialement.
Charles.
Je propose qu'on renomme la gamme de Samsung : NotReallySmartThings en fin de compte ;)
@Thegoldfinger :
Ou simplement NotSoSmartThngs !
@thebarty
Ou SachoubaThings ;)
@Thegoldfinger :
Attention il va venir te démontrer par A+B que c'est pas vrai et que les produits Samsung ont une sécurité sans failles.
@Hideyasu
Ce serait tellement marrant !
@Hideyasu :
Je n'ai rien à démontrer, il y a des failles et c'est grave !
Mais à vrai dire, je m'en fiche un peu, puisque le SmartThings Hub n'est pas disponibles en France. ^^
@Thegoldfinger :
Bien trouvé, excellent !
Ou Nutthing
Sinon, il y a LA solution ultime : les clés et les serrures, mais ça semble dépassé pour pas mal d'entre vous ici...
Après "Made for the iPhone ", voici le logo " security breach Made for the FBI"?