Samsung : sérieuses failles de sécurité dans les produits SmartThings

Mickaël Bazoge |

Les centaines de milliers d’utilisateurs de produits SmartThings, propriété de Samsung en août 2014, courent de sérieux dangers. Forbes rapporte l’alerte lancée par Tobias Zillner, chercheur pour la société Cognosec, des risques potentiels dont ils pourraient être les victimes : la sécurité des produits domotiques de SmartThings et des périphériques tiers peut en effet être prise à défaut.

En août dernier, durant la conférence Black Hat de Las Vegas, Zillner a pu déchiffrer la clé censée protéger les signaux circulant dans un hub SmartThings — le lieu central de triage des commandes de l’utilisateur. De fait, les communications ultérieures circulant dans ce hub peuvent être déchiffrées. Jusqu’à présent, le chercheur n’avait pas révélé le nom du constructeur léger sur la sécurité.

« À partir du moment où je suis capable de pirater le système », explique-t-il, « je peux ouvrir une porte fermée [protégée par un loquet connecté au système SmartThings] et tromper les capteurs de mouvements sans laisser aucune trace dans le système ». Et évidemment, l’utilisateur n’est pas prévenu de l’infraction, et pour cause : le système de surveillance ne repère absolument rien.

Zillner prévient aussi d’une autre faille de sécurité dans le protocole ZigBee, sur lequel repose les produits SmartThings. Une des clés censée protéger l’envoi d’une autre clé de remplacement est publique. Ces vulnérabilités combinées contribuent à l’affaiblissement considérable du système SmartThings.

Cliquer pour agrandir

Le chercheur a bien évidemment prévenu SmartThings de ses découvertes, en promettant fin décembre un correctif pour le mois de janvier. La semaine dernière, ce correctif n’était toujours pas disponible, et Samsung n’a pas encore réagi.

À la lumière de ces problèmes, on comprend mieux la volonté d’Apple de verrouiller complètement HomeKit : le constructeur demande un chiffrage avec des clés 3072 bits générés à l’aide d’une méthode tout aussi exigeante (lire : HomeKit serait trop sécurisé pour son propre bien). Dans le cas d’un cadenas connecté, il importe en effet que la sécurité soit optimale… voire tatillonne.

avatar   XiliX | 

Pfff 3072 bits... ça ne va servir à rien puisqu'ils seront bientôt obligés d'installer un back door

() (; ̄ ̄)

avatar   XiliX | 

Blague à part, à cause de ce chiffrement fort que des retards de dev ont été constatés sur pas mal de produits. Il faut une puce plutôt puissant pour pouvoir chiffrer/déchiffrer en temps réel.

Mais c'est plutôt rassurant.

J'attends un produit Tado ou Netatmo full HomeKit pour ma nouvelle chaudière...

avatar   icjm | 

@XiliX :
Bonjour, cher netatmo il existe une édition HomeKit de leur thermostat, en promo à 149€ pour le moment.

Il fonctionne avec Siri ainsi qu une apps dédié.

Mais je de déplore le peux de produits HomeKit sur le marché

Cordialement.

Charles.

avatar   Thegoldfinger | 

Je propose qu'on renomme la gamme de Samsung : NotReallySmartThings en fin de compte ;)

avatar   thebarty | 

@Thegoldfinger :
Ou simplement NotSoSmartThngs !

avatar   Thegoldfinger | 

@thebarty

Ou SachoubaThings ;)

avatar   Hideyasu | 

@Thegoldfinger :
Attention il va venir te démontrer par A+B que c'est pas vrai et que les produits Samsung ont une sécurité sans failles.

avatar   joneskind | 

@Hideyasu

Ce serait tellement marrant !

avatar   sachouba | 

@Hideyasu :
Je n'ai rien à démontrer, il y a des failles et c'est grave !
Mais à vrai dire, je m'en fiche un peu, puisque le SmartThings Hub n'est pas disponibles en France. ^^

avatar   thebarty | 

@Thegoldfinger :
Bien trouvé, excellent !

avatar   iPop | 

Ou Nutthing

avatar   nykk | 

Sinon, il y a LA solution ultime : les clés et les serrures, mais ça semble dépassé pour pas mal d'entre vous ici...

avatar   empereur_kuzco | 

Après "Made for the iPhone ", voici le logo " security breach Made for the FBI"?

CONNEXION UTILISATEUR