Nest hacké à la Blackhat
Lors de la conférence Blackhat qui s’est déroulée du 2 au 7 août aux États-Unis, cinq chercheurs en sécurité ont fait la démonstration d’une prise de contrôle d’un Nest. Nest, c’est le thermostat (et qui fera plus tard office de contrôleur d’éclairage domotique) intelligent inventé par Tony Fadell, le « père » de l’iPod. Son entreprise, fondée après avoir quitté Apple, a été rachetée par Google pour 3,2 milliards de dollars — depuis, il injecte un peu de son expertise dans l'ADN du moteur de recherche (lire : Tony Fadell : un peu d'Apple chez Google).
Le Nest possède un accès au réseau Wi-Fi de ses propriétaires, et donc potentiellement aux autres iPhones ou ordinateurs qui y sont connectés. Il dispose d’un CPU ARM Cortex M3 et de 2 Go d’espace de stockage pour ses données. Il est équipé d'une batterie rechargeable lui assurant une certaine autonomie. Il comprend également deux capteurs de mouvements, capables de repérer des déplacements dans la pièce.
Selon Daniel Buentello de l'université Central Florida, l’un des chercheurs, « si j’étais un malfrat, je ferais passer tout votre trafic internet par le Nest, récupérant (« sniffing ») toutes les données personnelles comme les numéros de carte de crédit. ». Une menace annoncée dès le mois de juillet, avec la promesse d'en dire plus lors de la conférence Blackhat (lire : Le thermostat Nest piraté pour protéger les utilisateurs).
Mais pour arriver à compromettre un Nest, les chercheurs ont eu besoin d’un accès physique à l’appareil pendant 15 secondes pour le hacker via son port USB. Évidemment, cela ôte beaucoup du caractère dangereux de ce piratage — d'ailleurs, les chercheurs ont déclaré qu’à leur connaissance, aucun Nest n’avait été encore jaibreaké (en revanche, Google plus tard a révélé qu’un petit nombre de Nest avait bien été compromis). Cependant, que l'intervention se déroule via une intrusion dans un logis, via la vente d’un Nest jailbreaké sur eBay ou bien grâce à une installation réalisée discrètement dans un entrepôt d’Amazon avant la mise en vente, la compromission d’un appareil reste toujours possible.
Après avoir activé le mode « Développeur », les chercheurs ont injecté leur propre code. En rebootant le thermostat, ils ont obtenu un accès Root complet. Encore une fois, il s’agit d’un jailbreak physique, moins impressionnant que s’il s’était produit à distance, ce qui serait beaucoup plus problématique pour Google et Nest. Les chercheurs par contre ont découvert une porte dérobée installée par les concepteurs de l'appareil. Ils proposeront bientôt un outil logiciel pour les utilisateurs Nest voulant boucher la faille dévoilée durant la Blackhat.
Comme s'il fallait une raison de plus pour ne pas partager systématiquement ses données, voir les mutualiser entre amis et les vendre à Google …
Note : le hack peut-être réalisé par n'importe qui passant dans une maison
Breaking News: en ayant accès à ton routeur, on peut aussi sniffer ton traffic réseau, et cela peut s'étendre à presque tout gadget électronique en fait...
Et ton routeur est un peu plus facile d'accès que sortir les tournevis pour démonter un module de ton mur
Cela est aussi applicable au système d'alarme que tu possedes actuellement, et même certainement plus facile.
Cela n'a rien à voir avec Google et les données, mais ce n'est pas grave, crache ta haine!
Vous payez un thermostat une fortune et en plus on vous y colle un backdoor... Et pourquoi faire ? Google dans toute sa beauté...
@DarKOrange :
Google vient de racheter cette société. Au départ c'est l'inventeur de l'iPod donc un ancien apple haut placé, donc poses toi la question sur ton iPhone plutôt.
@hirtrey :
Grav!
Ça craint un peu quand même non ?
Une grande maison... Plusieurs Ordi et devices...
Quelqu'un qui passe et en 15 secondes tout le traffic sniffé ensuite...
Faut mieux monter le chauffage à la main...
Peut-on l'utiliser sans le connecter au réseau.? Et sur un sous réseau, voir une autre borne seule ?
Visiblement ici, tant que cette boite était constituée d'anciens d'Apple, elle n'avait que des qualités, depuis sont rachat par Google, elle n'a que des défauts. On dit fanatisme ?
Non, on dit réalisme!
Faut pas trop s'alarmer, faut d'abord rentrer chez vous vous et le démonter. Si vous avez un tel thermostat, vous avez aussi un système d'alarme. Ou alors c'est un de vos invités qui le fait, qqun que VOUS avez fait entrer chez vous. Donc peu dechances que cela arrive!!!
Pourquoi peu de chances ?
Au contraire, le fait que ce soit si rapide multiplie le nombre de potentiels suspects et ce qu'on les y invitent ou non comme des professionnels ou des voleurs/pirates par exemple qui auraient ciblé une grande maison et qui s'y introduiraient ensuite. Comme de nos jours la plupart des ordinateurs sont des portables leurs possesseurs les amènent avec eux quand ils partent de chez eux et donc il ne reste qu'à pénétrer dans la maison sous quelques prétexte fallacieux et lorsque tous les ordis, tablettes et autres smartphones reviennent ils sont tous snifés et hackés.
Le pire ce sera lorsque cela pourra être caché dans uns mise à jour du Nest et installé avec un ordinateur lui même hacké à distance. L'utilisateur pense faire la mise à jour du Nest en connectant son thermostat et il installe en même temps le Hack lui même s'en s'en rendre compte.
Toujours aussi convaincu ???