Samsung : sérieuses failles de sécurité dans les produits SmartThings

Mickaël Bazoge | | 22:53 |  13

Les centaines de milliers d’utilisateurs de produits SmartThings, propriété de Samsung en août 2014, courent de sérieux dangers. Forbes rapporte l’alerte lancée par Tobias Zillner, chercheur pour la société Cognosec, des risques potentiels dont ils pourraient être les victimes : la sécurité des produits domotiques de SmartThings et des périphériques tiers peut en effet être prise à défaut.

En août dernier, durant la conférence Black Hat de Las Vegas, Zillner a pu déchiffrer la clé censée protéger les signaux circulant dans un hub SmartThings — le lieu central de triage des commandes de l’utilisateur. De fait, les communications ultérieures circulant dans ce hub peuvent être déchiffrées. Jusqu’à présent, le chercheur n’avait pas révélé le nom du constructeur léger sur la sécurité.

« À partir du moment où je suis capable de pirater le système », explique-t-il, « je peux ouvrir une porte fermée [protégée par un loquet connecté au système SmartThings] et tromper les capteurs de mouvements sans laisser aucune trace dans le système ». Et évidemment, l’utilisateur n’est pas prévenu de l’infraction, et pour cause : le système de surveillance ne repère absolument rien.

Zillner prévient aussi d’une autre faille de sécurité dans le protocole ZigBee, sur lequel repose les produits SmartThings. Une des clés censée protéger l’envoi d’une autre clé de remplacement est publique. Ces vulnérabilités combinées contribuent à l’affaiblissement considérable du système SmartThings.

Cliquer pour agrandir

Le chercheur a bien évidemment prévenu SmartThings de ses découvertes, en promettant fin décembre un correctif pour le mois de janvier. La semaine dernière, ce correctif n’était toujours pas disponible, et Samsung n’a pas encore réagi.

À la lumière de ces problèmes, on comprend mieux la volonté d’Apple de verrouiller complètement HomeKit : le constructeur demande un chiffrage avec des clés 3072 bits générés à l’aide d’une méthode tout aussi exigeante (lire : HomeKit serait trop sécurisé pour son propre bien). Dans le cas d’un cadenas connecté, il importe en effet que la sécurité soit optimale… voire tatillonne.

Catégorie : 

Les derniers dossiers sur iGeneration

Ailleurs sur le Web


13 Commentaires

avatar XiliX 17/02/2016 - 23:00via iGeneration pour iOS

Pfff 3072 bits... ça ne va servir à rien puisqu'ils seront bientôt obligés d'installer un back door

() (; ̄ ̄)

avatar XiliX 17/02/2016 - 23:06via iGeneration pour iOS

Blague à part, à cause de ce chiffrement fort que des retards de dev ont été constatés sur pas mal de produits. Il faut une puce plutôt puissant pour pouvoir chiffrer/déchiffrer en temps réel.

Mais c'est plutôt rassurant.

J'attends un produit Tado ou Netatmo full HomeKit pour ma nouvelle chaudière...

avatar icjm 18/02/2016 - 12:10via iGeneration pour iOS

@XiliX :
Bonjour, cher netatmo il existe une édition HomeKit de leur thermostat, en promo à 149€ pour le moment.

Il fonctionne avec Siri ainsi qu une apps dédié.

Mais je de déplore le peux de produits HomeKit sur le marché

Cordialement.

Charles.

avatar Thegoldfinger 17/02/2016 - 23:47

Je propose qu'on renomme la gamme de Samsung : NotReallySmartThings en fin de compte ;)

avatar thebarty 18/02/2016 - 07:16via iGeneration pour iOS

@Thegoldfinger :
Ou simplement NotSoSmartThngs !

avatar Thegoldfinger 18/02/2016 - 09:22

@thebarty

Ou SachoubaThings ;)

avatar Hideyasu 18/02/2016 - 09:56via iGeneration pour iOS

@Thegoldfinger :
Attention il va venir te démontrer par A+B que c'est pas vrai et que les produits Samsung ont une sécurité sans failles.

avatar joneskind 18/02/2016 - 12:05

@Hideyasu

Ce serait tellement marrant !

avatar sachouba 20/02/2016 - 11:46

@Hideyasu :
Je n'ai rien à démontrer, il y a des failles et c'est grave !
Mais à vrai dire, je m'en fiche un peu, puisque le SmartThings Hub n'est pas disponibles en France. ^^

avatar thebarty 18/02/2016 - 11:03via iGeneration pour iOS

@Thegoldfinger :
Bien trouvé, excellent !

avatar iPop 18/02/2016 - 11:17via iGeneration pour iOS

Ou Nutthing

avatar nykk 18/02/2016 - 11:36

Sinon, il y a LA solution ultime : les clés et les serrures, mais ça semble dépassé pour pas mal d'entre vous ici...

avatar empereur_kuzco 18/02/2016 - 20:34via iGeneration pour iOS

Après "Made for the iPhone ", voici le logo " security breach Made for the FBI"?