Le thermostat Nest piraté pour protéger les utilisateurs

Mickaël Bazoge |

Un groupe de hackers veut protéger les utilisateurs d'objets connectés Nest de la voracité de Google en matière de données confidentielles. Tony Fadell, « père » de l'iPod et fondateur de Nest, a pourtant déclaré à plusieurs reprises qu'il n'avait pas l'intention de partager les données des propriétaires de son thermostat et de son détecteur de fumée avec Google, qui a racheté Nest en début d'année pour 3,2 milliards de dollars. Le doute demeure toutefois, le moteur de recherche ayant fait de la vente des informations confidentielles des internautes sa poule aux œufs d'or.

Personne n'est encore parvenu à pirater un thermostat Nest à distance, mais avec un accès physique au périphérique, il devient possible de pénétrer dans le système. Un groupe de chercheurs de l'université de Central Florida, mené par le professeur Yier Jin, a en effet découvert lors du démontage d'une unité qu'ils pouvaient prendre possession de l'appareil lorsqu'il démarre; les données peuvent alors être « siphonnées » en toute discrétion.

Le périphérique, qui ne demande pas l'autorisation (pas d'option dans les réglages) envoie tous les mois aux serveurs de la maison-mère un listing contenant les réglages, les températures et les informations rentrées par l'utilisateur. Ces données n'ont rien de sexy de prime abord, mais elles recensent les habitudes de vie des propriétaires du thermostat — des données précieuses pour les annonceurs de Google.

Le « jailbreak » de l'appareil permet d'y injecter du code; il peut s'agir de malwares, mais également de logiciels plus nobles, permettant par exemple de bloquer l'envoi de ce fichier de données… et donc, l'exploitation commerciale potentielle que pourrait en faire Google. L'équipe compte présenter ces résultats publiquement le mois prochain lors d'une conférence Black Hat, puis de proposer cet outil et le mode d'emploi en ligne, afin que les possesseurs du thermostat qui le souhaitent puissent se protéger de la gourmandise de Google.

Du côté de Nest, on regrette évidemment cette initiative, qui est d'ailleurs surveillée de près par les ingénieurs de Google. Quant à l'éventualité d'un simple bouton de désactivation d'envoi des données, Matt Rogers le cofondateur de l'entreprise explique que cette option est très peu demandée par ses clients. La base de données permet d'analyser les comportements dans les foyers et, si besoin, de proposer des optimisations afin d'économiser sur la facture d'énergie. Il rappelle aussi que le jailbreak est susceptible d'altérer le bon fonctionnement du thermostat.

Pour aller plus loin :


Tags
avatar matthew3321 | 

Au pays de la paranoïa, on se sent tout de suite comme chez soi...

avatar Yohmi | 

Que les données soient revendues ou non reste un mystère, certes. Mais connaître les habitudes de fonctionnement permet avant tout d'améliorer le produit (comme le suggère l'avant-dernière phrase). C'est tout le problème de Google : à ne rien respecter, la confiance s'est perdue, et laisse place à la paranoïa…

avatar Ze_misanthrope (non vérifié) | 

Quand les gens comprendront que Google ne vend pas ces données (sinon, ils peuvent simplement fermer leurs portes, leur société est morte..) mais vendent des espaces publicitaires chez des clients respectant certaines contraintes, on aura fait un pas en avant.

Si ils collectent ces données, ce n'est pas pour les vendre, mais pour proposer des espaces publicitaires chauffagistes dans des maisons ou la chaudiere turbine à mort et des vetements ou je ne sais quoi là ou il fait plus froid.

Cette méconnaissance du business model de Google est affligeante alors que c'est justement l'un des plus connus et plus discuté au monde (que ce soit en bien ou en mal, je m'en fous de cette société).. mais soit.. Laissons MacG et igen créer la paranoïa et tout faire pour discréter Google dans leurs articles

avatar Anonyme (non vérifié) | 

@Ze_misanthrope :
Suffit d'avoir à l'esprit que Google fait tout pour en savoir le plus sur toi, et que donc faut pas utiliser leurs services. C'est tout. Ça s'arrête la.

avatar Ze_misanthrope (non vérifié) | 

Tu fais partie de ces gens qui pensent que un employé de Google lit tous les emails qui passent et se marre de ta vie privée, ou se moque des photos que tu envoies à ta copine? Sérieux?

Toutes les sociétés utilisent des données pour générer de l'argent (Apple, Yahoo, Facebook, Foursquare, Path, ...) Ces données sont évidemment revendues pour en faire des statistiques et tu ne peux rien y faire à part t'exciter tout seul.

Ces données sont collectées anonymement (tu es une ID dans un systeme) et sont cryptées. Le jour ou ne de ces grosse société citée plus haut foire et ne les rend plus anonymes, ils auront de gros soucis.

J'en ai discuté à la WWDC et à la Google I/O et ma rappelle de cette phrase d'un ingénieur: "Le jour ou plus personne ne va sur Google ou n'utilise plus Android, on s'en fiche un peu... Oui, on va perdre plein d'argent, virer des gens, et avoir de gros soucis, mais ce n'est rien comparé au problème d'une minime faille de confidentialité ou de vie privée ou là, on ferme boutique... Je t'assure que ces rumeurs de ventes d'infos, si elles étaient vraies, on aurait déjà mis la clé sous le paillasson depuis longtemps"

Il suffit d'avoir travaillé un peu dans de grosses sociétés ou ce type de problème existe pour se rendre compte que c'est une échelle un peu plus grande et plus complexe que "Bah Google c'est des méchants, ils volent mes données, je les utilise plus et je mets tous mes documents sur iCloud"

Apres chacun son choix mais il vaut mieux y réfléchir quand même

avatar finaleSportivo | 

wtf?! on est pas dans minority report. faut arrêter de stresser

avatar c0mm0n | 

Une simple règle de firewall réglerait probablement le problème ?

avatar nayals | 

@c0mm0n :
Tu as réussi à installer Little Snitch sur un thermostat ?! :-D

avatar trollol0l | 

Le thermostat est sur son propre réseau (3g, 4g, ou autre osef) au lieu d'utiliser le wifi de la maison ?

avatar MacGyver | 

pareil avec common

ya pas moyen de regler un firewall pour empecher les données de sortir de l'adresse IP du Nest par exemple?

avatar Archy | 

Z ´ avez raison, soyez cool et abandonnez votre liberté...
Mais respectez les quelques conscients (paranos pour vous) et laissez les vivre en paix.

avatar ch4zyx | 

C'est sur que si Google sait que vous mettez 20 degrés au lieu de 21, ça va changer votre vie et votre sécurité...

avatar patrick86 | 

"C'est sur que si Google sait que vous mettez 20 degrés au lieu de 21, ça va changer votre vie et votre sécurité..."

Vous n'imaginez pas ce qu'un publicitaire peut vous vendre s'il connait vos habitudes de vie.

--

Dans le cas présent, il ne s'agit pas tant de protection de sa vie privée en tant que telle, que de se prémunir de la puissance manipulatrice du monde publicitaire. Se prémunir de ceci est ESSENTIEL au maintient de l'intégrité de chaque Être Humain.

avatar Ze_misanthrope (non vérifié) | 

Donc, revends tes iPhone, stoppe ton compte iCloud, Facebook, ton net Banking, tes cartes de fidélité et mets un chapeau en alu sur ta tête.
Google, Apple et les grosses sociétés (qui cryptent tes données et ont des ingénieurs de dingue pour protéger tes données - on est d'accord qu'ils en possèdent beaucoup, voire de trop) sont tout aussi dangereuses que des petites startup comme Foursquare ou Path (dont on se rappelle des gros problèmes il y a un an ou un peu plus..)

avatar Anonyme (non vérifié) | 

@Ze_misanthrope :
Oui les données sont anonymes, mais le fait est qu'ils s'en servent pour mettre de la pub ciblée, déjà que j'aime pas du tout le pub... Ça ne me plait pas.

avatar Ze_misanthrope (non vérifié) | 

Et Facebook fait la même chose et les revend à des sociétés de consultance pour établir des statistiques, et Foursquare à des investisseurs pour voir les endroits ou placer certains commerces, et Apple, et Yahoo, et Microsoft...
Et effectivement Google pour des espaces de pub optimisés.

En même temps, si tu stoppes Google, la pub ne s'arrêtera pas, et à choisir, je préfère des pubs ou la pédophilie et le porno est banni et ciblée (désolé mais un affichage de pub pour un tampon ou des assurances 3eme age ne m'intéresse pas) que des régies moins scrupuleuses.

Apres, je suis d'accord de militer pour un retrait de ces données et utiliser Tor, mais il faut arrêter cette paranoia et combattre les mauvaises cibles.

Il y a d'autres points ou Google peut se critiquer que son business model qui est un des "moins pire". Mais on est d'accord qu'il y a mieux, toussa toussa

avatar patrick86 | 

@Ze_misanthrope :

Ne mélangeons pas tout.

Jusqu'à preuve du contraire, iCloud n'est pas finance par la publicité, mais par la vente de matériel.

La pub est évitable sur l'iPhone.
iAds c'est une cacahouète dans les revenus d'Apple.

Non pas que iCloud soit parfait ou même génialissime. Il est moins pire.

avatar patrick86 | 

"La base de données permet d'analyser les comportements dans les foyers et, si besoin, de proposer des optimisations afin d'économiser sur la facture d'énergie."

Ceci pourrait parfaitement se réaliser en locale, par un petit ordinateur qui fait les calculs nécessaires.

Exploiter les données n'est pas forcément une idée à l'origine du côté "Minitel 2.0" du Nest — je penche plutôt pour de la simple bêtise —, mais Google y voit une opportunité de gagner plus de dollars.

avatar Ze_misanthrope (non vérifié) | 

Effectivelent si Google se mettait en statut d'Association Sans But Lucratif, le problème ne se poserait pas.
Tu peux en toucher un mot à Larry Page, et le forwarder à Marc Zuckerberg et Tim Cook ;-)

avatar capy | 

En même temps, de la pub y en a partout. Autant qu'elle soit ciblée par rapport a mes besoin et mes habitudes. Du plus j'ai assez confiance en moi pour effectue les achats que je désire et non que l'on m'impose. Ou est le problème réel la ? A toi de lire ou non les pubs... Faut arrêter la parano a deux balles. Reste renfermer dans ta cave. Sans aucune connections et on ne viendra plus t'ennuyer avec de la pub. Ne sort plus car tes voisins peuvent te surveiller ... Ne va plus sur internet ... Ne fait plus tes achats aux mêmes endroits car la aussi on pourrait éventuellement te proposer de la pub ciblée par tes achats précédent. Enfin c mon avis. M'en fou moi qu'on voit mes habitudes. Je n'ai rien a dissimuler.

avatar trollol0l | 

" M'en fou moi qu'on voit mes habitudes. Je n'ai rien a dissimuler."

Tu peux donc nous dire qu'elle boulangerie tu fréquentes (adresse, fréquence, horaire, etc), pareil avec le(s) magasin(s) où tu fais tes courses ainsi que les produits que t'y achètes, quel est le constructeur de ton véhicule et son modèle, etc ?

D'ailleurs si t'as rien à dissimuler tu pourrais même penser à foutre des caméras dans chaques pièces de ton chez toi qui diffusent h24 sur le net ?

avatar capy | 

Et au vu des fautes laissées dans mon commentaire il est certain qu'un bon commercial me proposerai un dictionnaire ou un correcteur orthographique. Dsl. :-)

avatar Billytyper2 | 

@capy

Es-tu la footballeuse?

avatar USB09 | 

@Ze_misanthrope
Tu fais partie de ces gens qui pensent que un employé de Google lit tous les emails qui passent et se marre de ta vie privée, ou se moque des photos que tu envoies à ta copine? Sérieux?

C'est pourtant déjà arrivé, hélas.

avatar KalouiZBack | 

J'imagine déjà, un cadre réglant la température de consigne sur le Nest de sa résidence secondaire à partir de son iTrucoïd à bord du TGV et cela 2 heures avant son arrivée pour le weekend histoire de ne pas se les geler.
Au bout du monde au même moment un message d'alarme sur un écran pour prévenir que dans cette maison inoccupée la température augmente.
Vite un contrôle visuel avec la caméra IP pour savoir quelle réunion doit se tenir sans oublier l'écoute des micros des autres appareils (gsm, PC, babyphone...).
Quant au détecteur de fumée connecté, il est en fonction pour analyser que ce sont bien des clopes Américaines et non des substances illicites qui seront consommées...

Ce n'est pas plus stupide que de laisser des messages de prévention sur un tas de forums contre les méchants puissants qui espionnent la terre entière.

Enfin ! Le vrai rebel altermondialiste n'a pas besoin de régler son Nest sur son iPad lui. Dans son repaire de campagne il n'a pas assez de débit.
Et puis son smartphone à 800euros, c'est juste pour la boussole qu'il l'utilise... et parfois aussi pour appeler son dealer ou papa quand il est à sec.

avatar Highmac | 

Y-en a qui ont pas peur de se faire voler leur vie privée !
Bravo, continuez comme ça !

avatar ovea | 

Faut arrêter les trolls sur la soit disant paranoïa …
Que les données d'un thermostat soient utilisées pour de "l'optimisation" c'est envisageable, mais les commentaires postés le disent très bien, nul n'est besoin de faire remonter ça chez Google ou n'importe quel autre boutique.

La raison de cet indignation est beaucoup plus évidente et on en parle pas car elle est masquée par le troll sur la paranoïa : faite du bruit il en restera tjrs qlq chose … plutôt moins !!!

Le fait est que l'optimisation sur un serveur local est une exigence qui va avec le partage de ces informations entre personnes qui en font le souhait et de manière totalement transparente.

Il n'y a pas a revenir la dessus.

CONNEXION UTILISATEUR